码迷,mamicode.com
首页 > 系统相关 > 详细

02、Linux下sshd以及openssl的知识点

时间:2018-02-28 14:00:36      阅读:209      评论:0      收藏:0      [点我收藏+]

标签:out   基于   conf   登陆用户   协议   tmp   lin   pre   class   

ssh服务优化点
1、不要使用默认端口
2、禁止使用protocol version 1
3、限制可登陆用户   AllowUsers-->>白名单
4、设置空闲会话超时时长
5、利用防火墙设置ssh访问策略
6、仅监听特定的IP地址(内网IP)
7、基于口令认证,使用强密码策略
8、使用基于密钥的认证
9、禁止root用户直接登陆
10、限制ssh的访问频度和并发在线数
11、做好日志,经常分析
OpenSSL三个组件
    openssl:多用途的命令行工具
    libcrypto:加密解密库
      libssl:ssl协议的实现

PKI:Public Key Infrastructure
    CA  -->> 颁发
    RA  -->> 注册
    CRL -->> 注销
    证书存取库
    
 
证书申请及签署步骤
    1、生成申请请求(例如 银行填单)
    2、RA核验
    3、CA签署
    4、获取证书(从CA存取库 获取证书)

    
建立私有CA的方式  
    OpenCA  
    openssl**   
如何创建私有CA
    openssl配置文件   /etc/pki/tls/openssl.cnf
        1、创建所需要的文件
            touch index.txt
            echo 01 >seial
        2、CA自签证书
            (umask 077;openssl genrsa -out private/cakey.pem 2048)
            openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days 7300 -out /etc/pki/CA/cacert.pem
            -new:生成新证书签署请求
            -x509:用于CA生成自签证书
            -key:从私钥生成公钥
            -out:保存的位置/etc/pki/tls/openssl.conf定义了路径
            
        3、发证
            1)请求证书的主机生成证书请求
                (umask 077;openssl genrsa -out /path/to/file.key 2048)
                openssl req -new -key /path/to/file.key -out /etc/file.csr
                
            2)把请求文件传输给CA
                scp file.csr root@192.168.1.1:/tmp
            3)签署证书、并将证书发给请求者   
                openssl ca -in /tmp/file.csr -out /etc/pki/CA/certs/file.crt -days 300 
                
            4)吊销证书......

02、Linux下sshd以及openssl的知识点

标签:out   基于   conf   登陆用户   协议   tmp   lin   pre   class   

原文地址:https://www.cnblogs.com/LI-HONG-SHENG/p/8483052.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!