Linux openssh openssl

标签：Linux openssh openss

笔记日期20180524

目录

openssh

配置ssh基于密钥的方式认证

服务器端配置文件

ssh服务的最佳实践

OpenSSL

三个组件

PKI: Public Key Infrastructure

建立私有CA

证书申请及签署步骤

创建私有CA详细步骤

openssh

配置ssh基于密钥的方式认证

1.生成密钥对

ssh-keygen -P '' -f .ssh/own_rsakey

2.将公钥复制至将要远程连接的服务器特定目录里

使用上述命令会生成两个文件一个私钥一个公钥，cat .ssh/own_rsakey.pub是公钥文件

将里边的内容复制 

远程连接要使用密钥认证的服务器打开其要远程的用户家目录下~/.ssh/

vim authorized_keys

然后将密钥粘贴至此处

更改该文件的权限为600如果不改可能无法实现基于密钥谁

scp命令可以将远程的服务器里的文件复制至本机，也可以将本机的文件复制至服务器

scp user@host:/path/file /path/somewhere 远程文件至本地

scp /path/somewhere user@host:/path/    本地文件至远程

服务器端配置文件

/etc/ssh/sshd_config

HostKey

Port 22

ListenAddress 0.0.0.0

Protocol 2

PermitRootLogin yes

ssh服务的最佳实践

1、不要使用默认端口

2、禁止使用protocal version1

3、限制可登录用户

4、设定空闲会话超时时长

5、利用防火墙设置ssh访问的策略

6、仅监听特定的IP地址

7、基于口令认证时，使用强密码策略

# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基于密钥认证

9、禁止使用空密码

10、禁止root用户直接登录

11、限制ssh的访问频度和并发在线数

12、做好日志，经常分析

OpenSSL

三个组件

openssl 多用途的命令行工具

libcrypto 加密解密库

libssl ssl协议的实现

PKI: Public Key Infrastructure

CA Certificate Authority

RA Registration Authority

CRL Certificate Revocationg List

证书的存取库

建立私有CA

OpenCA

Openssl

证书申请及签署步骤

1、生成申请请求

2、注册机构RA核验

3、CA签署

4、获取证书

创建私有CA

openssl的配置文件 /etc/pki/tls/openssl.conf

1. 创建openssl配置文件里所需要的文件

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

echo 01 > /etc/pki/CA/crlnumber

2. CA自签证书

生成私钥

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 \

-out /etc/pki/CA/cacert.pem

-new 生成新证书签署请求

-x509 专用于CA生成自签证书

-key 生成请求时用到的私钥文件

-days 证书的有效期限

-out /PATH/TO/SOMECERTIFILE 证书

3. 发证

a 用到证书的主机生成证书请求

(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

openssl req -new -key /etc/httpd/ssl/httpd/ssl/httpd.key -days 365 \

-out /etc/httpd/ssl/httpd.csr

b 把请求文件传输给CA

c CA签署证书，并将证书还给请求者

openssl ca in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

查看证书中的信息

openssl x509 -in /PATH/FROM/cert_file -noout -text|-subject|-serial

4. 吊销证书

a 客户端获取要吊销证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

b CA

先根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致

吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem 

c 生成吊销证书的编号(第一次吊销一个证书时使用)

echo 01 > /etc/pki/CA/crlnumber

d 更新证书吊销列表(名字和路径自己指定)

openssl ca -gencrl -out /etc/pki/CA/crl/mysky.crl

查看crl文件

openssl crl -in /etc/pki/CA/crl/mysky.crl -noout -text

Linux openssh openssl

标签：Linux openssh openss

原文地址：http://blog.51cto.com/winthcloud/2119779