笔记日期20180524
目录
openssh
配置ssh基于密钥的方式认证
服务器端配置文件
ssh服务的最佳实践
OpenSSL
三个组件
PKI: Public Key Infrastructure
建立私有CA
证书申请及签署步骤
创建私有CA详细步骤
openssh
配置ssh基于密钥的方式认证
1.生成密钥对
ssh-keygen -P '' -f .ssh/own_rsakey
2.将公钥复制至将要远程连接的服务器特定目录里
使用上述命令会生成两个文件一个私钥一个公钥,cat .ssh/own_rsakey.pub是公钥文件
将里边的内容复制
远程连接要使用密钥认证的服务器打开其要远程的用户家目录下~/.ssh/
vim authorized_keys
然后将密钥粘贴至此处
更改该文件的权限为600如果不改可能无法实现基于密钥谁
scp命令可以将远程的服务器里的文件复制至本机,也可以将本机的文件复制至服务器
scp user@host:/path/file /path/somewhere 远程文件至本地
scp /path/somewhere user@host:/path/ 本地文件至远程
服务器端配置文件
/etc/ssh/sshd_config
HostKey
Port 22
ListenAddress 0.0.0.0
Protocol 2
PermitRootLogin yes
ssh服务的最佳实践
1、不要使用默认端口
2、禁止使用protocal version1
3、限制可登录用户
4、设定空闲会话超时时长
5、利用防火墙设置ssh访问的策略
6、仅监听特定的IP地址
7、基于口令认证时,使用强密码策略
# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs
8、使用基于密钥认证
9、禁止使用空密码
10、禁止root用户直接登录
11、限制ssh的访问频度和并发在线数
12、做好日志,经常分析
OpenSSL
三个组件
openssl 多用途的命令行工具
libcrypto 加密解密库
libssl ssl协议的实现
PKI: Public Key Infrastructure
CA Certificate Authority
RA Registration Authority
CRL Certificate Revocationg List
证书的存取库
建立私有CA
OpenCA
Openssl
证书申请及签署步骤
1、生成申请请求
2、注册机构RA核验
3、CA签署
4、获取证书
创建私有CA
openssl的配置文件 /etc/pki/tls/openssl.conf
1. 创建openssl配置文件里所需要的文件
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
echo 01 > /etc/pki/CA/crlnumber
2. CA自签证书
生成私钥
(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
生成证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 \
-out /etc/pki/CA/cacert.pem
-new 生成新证书签署请求
-x509 专用于CA生成自签证书
-key 生成请求时用到的私钥文件
-days 证书的有效期限
-out /PATH/TO/SOMECERTIFILE 证书
3. 发证
a 用到证书的主机生成证书请求
(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
openssl req -new -key /etc/httpd/ssl/httpd/ssl/httpd.key -days 365 \
-out /etc/httpd/ssl/httpd.csr
b 把请求文件传输给CA
c CA签署证书,并将证书还给请求者
openssl ca in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
查看证书中的信息
openssl x509 -in /PATH/FROM/cert_file -noout -text|-subject|-serial
4. 吊销证书
a 客户端获取要吊销证书的serial
openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject
b CA
先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致
吊销证书
openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
c 生成吊销证书的编号(第一次吊销一个证书时使用)
echo 01 > /etc/pki/CA/crlnumber
d 更新证书吊销列表(名字和路径自己指定)
openssl ca -gencrl -out /etc/pki/CA/crl/mysky.crl
查看crl文件
openssl crl -in /etc/pki/CA/crl/mysky.crl -noout -text
原文地址:http://blog.51cto.com/winthcloud/2119779