亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

telnet ,openssh以及openssl

發布時間:2020-04-07 20:18:11 來源:網絡 閱讀:625 作者:菜鳥專家 欄目:網絡安全

OpenSSH

SSH是一種協議

        

         ssh:secure shell, protocol, 22/tcp, 安全的遠程登錄

         OpenSSH:ssh協議的開源實現;

                   dropbear:另一個開源實現;

先要安裝yum install trlnet-server

         SSH協議版本

                   v1:基于CRC-32MAC,不安全;man-in-middle

                   v2:雙方主機協議選擇安全的MAC方式

                            基于DH算法做密鑰交換,基于RSADSA算法實現身份認證;

 

                   兩種方式的用戶登錄認證:

                            基于password

                            基于key

 

   OpenSSH:

              C/S

          C:ssh, scp, sftp

      Windows客戶端:

    xshell,putty, securecrt,sshsecureshellclient

            S:sshd

 

      客戶端組件:

       ssh,配置文件:/etc/ssh/ssh_config

 

 

          格式:ssh[user@]host [COMMAND]

                     用戶 主機      

               Ssh292.168.1.101

                  ssh [-l user] host [COMMAND]

              -pport:遠程服務器監聽的端口;

               -X:支持x11轉發;

                -Y:支持信任的x11轉發;

 

                Host PATTERN

         PARAMETERVALUE

 

     基于密鑰的認證:

     (1)在客戶端生成密鑰對兒

            ssh-t rsa [-P ''] [-f "~/.ssh/id_rsa"]

ssh-keygen –t rsa –P ‘’ –f  ~/.ssh/id_rsa      -P這里是端口

        (2)把公鑰傳輸至遠程服務器對應用戶的家目錄

         ssh-copy-id[-i [identity_file]][user@]machinessh-copy-id –i.ssh/id_rsa.pubroot@192.168.1.101

                  (3)測試

                    Vim .ssh/authorized_keys這里可以寫公鑰的那些密碼

                            scp命令:

               scp[options] SRC... DEST/知名目標文件

                      存在兩種情形:

                                               PULLscp[options[user@]host:/PATH/FROM/SOMEFILE /PATH/TO/SOMEWHERE

                                       PUSH:scp[options]/PATH/FROM/SOMEFIL[user@]host:/PATH/TO/SOMEWHERE

 

                           常用選項:

                          -r:遞歸復制;

                        -p:保持原文件的屬性信息;

                       -q:靜默模式

                       -PPORT: 指明remote host的監聽的端口;

 

                            sftp命令:

                                     sftp[user@]host

                                     sftp>help

 

                   服務器端:

                            sshd,配置文件: /etc/ssh/sshd_config

 

                            常用參數:

                                     Port22022

                                     ListenAddressip監聽內網地址

                                     PermitRootLoginyes圖形程序xclock

 

                                     限制可登錄用戶的辦法:

                                               AllowUsersuser1 user2 user3

                                               AllowGroups

 

         ssh服務的最佳實踐:

                   1、不要使用默認端口;

                   2、禁止使用protocolversion 1

                   3、限制可登錄用戶;

                   4、設定空閑會話超時時長;

                   5、利用防火墻設置ssh訪問策略;

                   6、僅監聽特定的IP地址;

                   7、基于口令認證時,使用強密碼策略;

                            #tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

                   8、使用基于密鑰的認證;

                   9、禁止使用空密碼;

                   10、禁止root用戶直接登錄;

                   11、限制ssh的訪問頻度和并發在線數;

                   12、做好日志,經常分析;

 

         ssh協議的另一個實現:dropbear

                   (1)dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

                            dropbearkey-t rsa -f /etc/dropbear/dropbear_rsa_host_ke ey

                            dropbear-p [ip:]port -F –E

編譯安裝的方法

./configrel

Make PROGRAMS=’ dropbear scp dropbearkeydbclient’ inatall

Mkdir /etc/dropbear

dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key –s 2048

dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key

 

OpenSSL

         三個組件:

                   openssl:多用途的命令行工具;

                   libcrypto:加密解密庫;

                   libsslssl協議的實現;

 

         PKIPublic KeyInfrastructure

                   CA發證機構

                   RA注冊機構

                   CRL

                   證書存取庫

 

         建立私有CA:

                   OpenCA

                   openssl

 

         證書申請及簽署步驟:

                   1、生成申請請求;

                   2RA核驗;

                   3CA簽署;

                   4、獲取證書;

 

         創建私有CA

                   openssl的配置文件:/etc/pki/tls/openssl.cnf

                    /etc/dir/certs

                    (1)    創建所需要的文件

                    (2)    Cd /etc/pki/CA

                            # touch index.txt

                            #echo 01 > serial

                            #

       (2)CA自簽證書

   #(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

  #openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -t days7300out/etc/pki/CA/cacert.pem

            -new:生成新證書簽署請求;

            -x509:專用于CA生成自簽證書;

         -key:生成請求時用到的私鑰文件;

        -daysn:證書的有效期限;

           -out/PATH/TO/SOMECERTFILE: 證書的保存路徑;

CN中國 Beijing 北京 Beijing 北京 magedu ops運維 服務器解析的名字ca.magedu.com,caadmin@magedu.com

 

      (3)發證

     (a)用到證書的主機生成證書請求;

    #(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

    #openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out/etc/httpd/ssl/httpd.csr

Rpm –q httpd

        Cd /etc/httpd

            Mkdirssl

            Cd ssl/

            Openssl req –key httpd.key 同上

        (b)把請求文件傳輸給CA

       (c)CA簽署證書,并將證書發還給請求者;

    #openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

 

           查看證書中的信息:

     opensslx509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

 

   (4)吊銷證書

     (a)客戶端獲取要吊銷的證書的serial

   #openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

 

    (b)CA

 先根據客戶提交的serialsubject信息,對比檢驗是否與index.txt文件中的信息一致;

 

    吊銷證書:

   #openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

  (c)生成吊銷證書的編號(第一次吊銷一個證書)

    #echo 01 > /etc/pki/CA/crlnumber

 

    (d)更新證書吊銷

  #openssl ca -gencrl -out thisca.crl

 

         查看crl文件:

     #openssl crl -in /PATH/FROM/CRL_FILE.crl -noout –text


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

甘肃省| 鸡泽县| 波密县| 汤原县| 太康县| 永定县| 宁河县| 永康市| 彰武县| 平安县| 韩城市| 合川市| 阳谷县| 达孜县| 泗洪县| 霍山县| 冕宁县| 禹州市| 宁波市| 富阳市| 盘锦市| 阳原县| 牡丹江市| 胶州市| 利川市| 西林县| 石门县| 涪陵区| 乌兰浩特市| 凉城县| 时尚| 永平县| 沂南县| 平谷区| 广宁县| 南汇区| 镇坪县| 长葛市| 水城县| 奈曼旗| 肇东市|