码迷,mamicode.com
首页 > 系统相关 > 详细

Linux openssh openssl

时间:2018-05-24 11:59:11      阅读:169      评论:0      收藏:0      [点我收藏+]

标签:Linux openssh openss

Linux openssh openssl


笔记日期20180524


目录

openssh

配置ssh基于密钥的方式认证

服务器端配置文件

ssh服务的最佳实践


OpenSSL

三个组件

PKI: Public Key Infrastructure

建立私有CA

证书申请及签署步骤

创建私有CA详细步骤




openssh

配置ssh基于密钥的方式认证

1.生成密钥对

ssh-keygen -P '' -f .ssh/own_rsakey


2.将公钥复制至将要远程连接的服务器特定目录里

使用上述命令会生成两个文件一个私钥一个公钥,cat .ssh/own_rsakey.pub是公钥文件

将里边的内容复制 


远程连接要使用密钥认证的服务器打开其要远程的用户家目录下~/.ssh/

vim authorized_keys

然后将密钥粘贴至此处


更改该文件的权限为600如果不改可能无法实现基于密钥谁



scp命令可以将远程的服务器里的文件复制至本机,也可以将本机的文件复制至服务器

scp user@host:/path/file /path/somewhere 远程文件至本地

scp /path/somewhere user@host:/path/    本地文件至远程


服务器端配置文件

/etc/ssh/sshd_config

HostKey

Port 22

ListenAddress 0.0.0.0

Protocol 2

PermitRootLogin yes



ssh服务的最佳实践

1、不要使用默认端口

2、禁止使用protocal version1

3、限制可登录用户

4、设定空闲会话超时时长

5、利用防火墙设置ssh访问的策略

6、仅监听特定的IP地址

7、基于口令认证时,使用强密码策略

# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基于密钥认证

9、禁止使用空密码

10、禁止root用户直接登录

11、限制ssh的访问频度和并发在线数

12、做好日志,经常分析





OpenSSL

三个组件

openssl 多用途的命令行工具

libcrypto 加密解密库

libssl ssl协议的实现



PKI: Public Key Infrastructure

CA Certificate Authority

RA Registration Authority

CRL Certificate Revocationg List

证书的存取库



建立私有CA

OpenCA

Openssl



证书申请及签署步骤

1、生成申请请求

2、注册机构RA核验

3、CA签署

4、获取证书



创建私有CA

openssl的配置文件 /etc/pki/tls/openssl.conf


1. 创建openssl配置文件里所需要的文件

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

echo 01 > /etc/pki/CA/crlnumber


2. CA自签证书

生成私钥

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 \

-out /etc/pki/CA/cacert.pem


-new 生成新证书签署请求

-x509 专用于CA生成自签证书

-key 生成请求时用到的私钥文件

-days 证书的有效期限

-out /PATH/TO/SOMECERTIFILE 证书


3. 发证

a 用到证书的主机生成证书请求

(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

openssl req -new -key /etc/httpd/ssl/httpd/ssl/httpd.key -days 365 \

-out /etc/httpd/ssl/httpd.csr


b 把请求文件传输给CA


c CA签署证书,并将证书还给请求者

openssl ca in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365


查看证书中的信息

openssl x509 -in /PATH/FROM/cert_file -noout -text|-subject|-serial


4. 吊销证书

a 客户端获取要吊销证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject


b CA

先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致


吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem 


c 生成吊销证书的编号(第一次吊销一个证书时使用)

echo 01 > /etc/pki/CA/crlnumber


d 更新证书吊销列表(名字和路径自己指定)

openssl ca -gencrl -out /etc/pki/CA/crl/mysky.crl


查看crl文件

openssl crl -in /etc/pki/CA/crl/mysky.crl -noout -text



Linux openssh openssl

标签:Linux openssh openss

原文地址:http://blog.51cto.com/winthcloud/2119779

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!