标签:
关于登录的那些事儿
主机开机之后,我们想到要做的肯定是如何登录使用这个主机,以什么样的身份来使用主机。
1.root(根用户)它拥有整个文件系统的最高权限,它可以对系统所有文件进行更改,操作。
因此,我们在使用root用户操作时,需要格外谨慎,同样的也需要对root密码进行格外的保护。
2.谈到root密码,/etc/passwd,/etc/shadow,这两个文件保存了主机上所有的用户信息,包括密码,属性,以及家目录,以及所属群组等内容。
cat /etc/passwd
以root用户为例,分别指的是-用户名:密码:UID:GID:解释说明(此处可以为空):用户家目录:shell
root:x:0:0:root:/root:/bin/bash
若shell规定/sbin/nologin,或/bin/false,则该用户不可登录
cat /etc/shadow
另外,关于用户群组,root用户默认的UID:GID都是0,而一般我们手动添加的用户是从500开始的(在不指定用户群组的情况下)
shadow文件中则主要保存了用户的密码信息,用户名:加密密码:上次更改密码的时间(默认是1970年1月1日之后的天数):要过多少天才可以更改密码(0表示不限制):密码的生命周期99999(默认):密码到期前多少天发警告:账号失效期限:账号的生命周期:保留用。其中加密密码的部分内容:*表示已经锁定,!!则表示无密码
同样的以root为例:root:$6$LyGchSPl8tyj1LCk$TGtdEuMrsGMD9Wfk4EphaPxVrXjvPrLWMctJ1O6t9M1Ookl/9D8lCUbIOX9xgOTo6uHhDp9lwCB6aKDsau4RU1:16833:0:99999:7:::
其中centos shadow文件中的加密算法为sha-512(86位)
类似的是/etc/group是群组的信息,而群组密码文件则存在/etc/gshadown中
3.为了保证安全,我们可以采用秘钥的登录方式去登录,这种方式不使用用户密码登录,因此也没有泄露密码的隐患。
具体设置如下:
首先用putty_gen,生成公钥,同时可以修改公钥的描述,然后对该密钥对设置密码,
然后是保存私钥,保存私钥时注意,不要在文件名中出现字符‘.‘,因为会让putty 不识别ppk文件。
然后是在linux上设置,mkdir ~/.ssh
cd .ssh
vi /root/.ssh/authorized_keys;将公钥保存到该文件中
chmod 700 /root/.ssh
chmod 600 authorized_keys
setenforce 0;将selinux关闭
vim /etc/selinux/config;将配置文件中的selinux=disabled
iptables -F;清除防火墙规则
之后再putty登录session中设置载入私钥就设置成功了。
这里再介绍下加密算法:
对称密钥算法(DES,3DES,AES)
使用相同的密钥和算法来加解密。
缺点:共享密钥需双方互换,密钥太多,不支持数字签名和不可否认性。
优点:速度快,安全,紧凑,长度小于等于8字节
非对称密钥算法(RSA,DHKipsec vpn,EC)
1.每一个用户进入一个加密系统,都需要产生一对公私密密钥。
2.公钥共享给所有人,私钥需严格保密,公钥无法推出私钥。
3.公钥加密的文件需要私钥才解密(加密的过程)。
4.私钥加密的文件需要公钥才能解密(签名的过程)。
优点:安全,加解密双方不需要交换密钥,无需担心密钥被截取。
缺点:非常慢,密文会变长
在linux下的密钥认证就是典型的非对称加密算法
标签:
原文地址:http://www.cnblogs.com/we14578/p/5227156.html