ssh服务优化点
1、不要使用默认端口
2、禁止使用protocol version 1
3、限制可登陆用户 AllowUsers-->>白名单
4、设置空闲会话超时时长
5、利用防火墙设置ssh访问策略
6、仅监听特定的IP地址(内网IP)
7、基于口令认证,使用强密码策略
8、使用基于密钥的认证
9、禁止root用户直接登陆
10、限制ssh的访问频度和并发在线数
11、做好日志,经常分析
OpenSSL三个组件
openssl:多用途的命令行工具
libcrypto:加密解密库
libssl:ssl协议的实现
PKI:Public Key Infrastructure
CA -->> 颁发
RA -->> 注册
CRL -->> 注销
证书存取库
证书申请及签署步骤
1、生成申请请求(例如 银行填单)
2、RA核验
3、CA签署
4、获取证书(从CA存取库 获取证书)
建立私有CA的方式
OpenCA
openssl**
如何创建私有CA
openssl配置文件 /etc/pki/tls/openssl.cnf
1、创建所需要的文件
touch index.txt
echo 01 >seial
2、CA自签证书
(umask 077;openssl genrsa -out private/cakey.pem 2048)
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
-new:生成新证书签署请求
-x509:用于CA生成自签证书
-key:从私钥生成公钥
-out:保存的位置/etc/pki/tls/openssl.conf定义了路径
3、发证
1)请求证书的主机生成证书请求
(umask 077;openssl genrsa -out /path/to/file.key 2048)
openssl req -new -key /path/to/file.key -out /etc/file.csr
2)把请求文件传输给CA
scp file.csr root@192.168.1.1:/tmp
3)签署证书、并将证书发给请求者
openssl ca -in /tmp/file.csr -out /etc/pki/CA/certs/file.crt -days 300
4)吊销证书......
