第十四周作業(yè)

一、創(chuàng)建私有CA并進(jìn)行證書申請躲因。

1癣防、創(chuàng)建私有CA自簽名證書

?首先安裝openssl-libs包,查看配置文件?cat /etc/pki/tls/openssl.cnf

1-1芯咧、創(chuàng)建/etc/pki/CA目錄

[root@centos8 ~]#mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

[root@centos8 ~]#tree /etc/pki/CA/

1-2、在/etc/pki/CA目錄下創(chuàng)建私鑰竹揍,查看私鑰文件

[root@centos8 ~]# cd /etc/pki/CA

[root@centos8 CA]#(umask 066; openssl genrsa -out private/cakey.pem 2048)

[root@centos8 CA]#cat private/cakey.pem

1-3敬飒、給CA頒發(fā)自簽名證書:

[root@centos8 ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

1-4、在centos上用命令將證書文件的base64編碼轉(zhuǎn)換為一個譯讀的格式進(jìn)行查看證書文件

[root@centos8 ~]# openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

或者將證書文件cacert.pem傳至windows桌面芬位,修改文件名為cacert.pem.crt无拗,雙擊可以看到下面顯示

[root@centos8 ~]#sz /etc/pki/CA/cacert.pem


2、用戶生成私鑰和證書申請

2-1昧碉、生成用戶私鑰文件

[root@centos8 ~]#mkdir /data/app1

[root@centos8 ~]#(umask 066; openssl genrsa -out ? /data/app1/app1.key 2048)

[root@centos8 ~]#cat /data/app1/app1.key

2-2英染、生成用戶申請文件

[root@centos8 ~]#openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

[root@centos8 ~]#ll /data/app1/

2-3、CA頒發(fā)證書

index.txt和serial文件在頒發(fā)證書時需要使用被饿,如果不存在會出現(xiàn)錯誤四康,先創(chuàng)建文件如下:

生成證書索引數(shù)據(jù)庫文件:

[root@centos8 ~]# touch /etc/pki/CA/index.txt

指定第一個頒發(fā)證書的序列號

[root@centos8 ~]# echo 0F > /etc/pki/CA/serial

通過openssl ca命令指定證書申請文件的路徑:/data/app1/app1.csr

再通過-out指定輸出路徑/etc/pki/CA/certs/app1.crt,指定證書有效期1000天 -days 1000

[root@centos8 ~]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

查看證書:

[root@centos8 ~]# cat /etc/pki/CA/certs/app1.crt

查看證書表調(diào):

[root@centos8 ~]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -issuer

查看給誰頒發(fā)的證書:

[root@centos8 ~]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -subject

查看證書有效期:

[root@centos8 ~]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -dates

查看證書序列號:

[root@centos8 ~]# openssl x509 -in /etc/pki/CA/certs/app1.crt -noout -serial

查看證書的有效性:

[root@centos8 ~]# openssl ca -status 0F

3、將證書相關(guān)文件發(fā)送至客戶端使用

[root@centos8 data]# cp /etc/pki/CA/certs/app1.crt /data/app1/

至此CA頒發(fā)證書的整個過程已經(jīng)完成狭握,下面是有關(guān)CA證書的一些其他功能和用法.


*闪金、給第二家單位頒發(fā)證書,則執(zhí)行2-1開始的步驟(文件路徑改一下)哥牍,如果默認(rèn)必須一致的三項(xiàng)(國家毕泌,地區(qū)喝检,機(jī)構(gòu))有不一樣的地方則會報(bào)錯嗅辣。解決方法有兩種:1、將app1.csr文件重新生成挠说。2澡谭、修改openssl的配置文件

修改openssl配置文件

[root@centos8 ~]# vim /etc/pki/tls/openssl.cnf

*、一個證書申請多個證書文件的方法:

[root@centos8 ~]# vim /etc/pki/CA/index.txt.attr

執(zhí)行2-3的命令,將申請的文件名換一下

[root@centos8 ~]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1-2.crt -days 1000

*蛙奖、吊銷證書的方法:

查看證書文件的信息潘酗,得出證書編號11
[root@centos8 ~]# cat /etc/pki/CA/index.txt

吊銷證書編號為11的證書文件

[root@centos8 ~]# openssl ca -revoke /etc/pki/CA/newcerts/11.pem

生成證書吊銷列表文件

指定第一個吊銷證書的編號,注意:第一次更新證書吊銷列表前,才需要執(zhí)行

[root@centos8 ~]# echo 01 > /etc/pki/CA/crlnumber

更新證書吊銷列表

[root@centos8 ~]# openssl ca -gencrl -out /etc/pki/CA/crl.pem

查看crl文件:

[root@centos8 ~]# openssl crl -in /etc/pki/CA/crl.pem -noout -text

#將此文件crl.pem傳到windows上并改后綴為crl.pem.crl雁仲,雙擊可以查看以下顯示

[root@centos8 ~]#sz /etc/pki/CA/crl.pem?

*非交互式申請證書方法


二仔夺、總結(jié)ssh常用參數(shù)、用法

ssh命令是ssh客戶端攒砖,允許實(shí)現(xiàn)對遠(yuǎn)程系統(tǒng)經(jīng)驗(yàn)證地加密安全訪問缸兔。ssh客戶端配置文件是:/etc/ssh/ssh_config

ssh命令配合的常見選項(xiàng):

-p port:遠(yuǎn)程服務(wù)器監(jiān)聽的端口

?ssh 192.168.1.8 -p 2222

-b 指定連接的源IP

ssh 192.168.1.8 -p 2222 -b 192.168.1.88

-v 調(diào)試模式

ssh 192.168.1.8 -p 2222 -v

-C 壓縮方式

-X 支持x11轉(zhuǎn)發(fā)

支持將遠(yuǎn)程linux主機(jī)上的圖形工具在當(dāng)前設(shè)備使用

-t 強(qiáng)制偽tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ? ssh ?

remoteserver3

-o option ? 如:-o StrictHostKeyChecking=no

-i <file> 指定私鑰文件路徑吹艇,實(shí)現(xiàn)基于key驗(yàn)證惰蜜,默認(rèn)使用文件: ~/.ssh/id_dsa,

~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等


三受神、總結(jié)sshd服務(wù)常用參數(shù)抛猖、用法

服務(wù)器端的配置文件: /etc/ssh/sshd_config

常用參數(shù):

Port? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#端口號

ListenAddress ipLoginGraceTime 2m? ? ? ? ? ? #寬限期

PermitRootLogin yes? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #默認(rèn)ubuntu不允許root遠(yuǎn)程ssh登錄

StrictModes yes? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#檢查.ssh/文件的所有者,權(quán)限等

MaxAuthTries ??6? ? ?

MaxSessions ?10? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#同一個連接最大會話

PubkeyAuthentication yes? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#基于key驗(yàn)證

PermitEmptyPasswords no? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#空密碼連接

PasswordAuthentication yes? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#基于用戶名和密碼連接

GatewayPorts no

ClientAliveInterval 10? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #單位:秒

ClientAliveCountMax 3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#默認(rèn)3

UseDNS yes? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#提高速度可改為no

GSSAPIAuthentication yes? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #提高速度可改為no

MaxStartups? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#未認(rèn)證連接最大值鼻听,默認(rèn)值10

Banner /path/file

#以下可以限制可登錄用戶的辦法:

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh服務(wù)的最佳實(shí)踐

建議使用非默認(rèn)端口

禁止使用protocol version 1

限制可登錄用戶

設(shè)定空閑會話超時時長

利用防火墻設(shè)置ssh訪問策略僅監(jiān)聽特定的IP地址

基于口令認(rèn)證時财著,使用強(qiáng)密碼策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12|

xargs

使用基于密鑰的認(rèn)證

禁止使用空密碼

禁止root用戶直接登錄

限制ssh的訪問頻度和并發(fā)在線數(shù)

經(jīng)常分析日志

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末撑碴,一起剝皮案震驚了整個濱河市瓢宦,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌灰羽,老刑警劉巖驮履,帶你破解...
    沈念sama閱讀 217,907評論 6 506
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異廉嚼,居然都是意外死亡玫镐,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,987評論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門怠噪,熙熙樓的掌柜王于貴愁眉苦臉地迎上來恐似,“玉大人,你說我怎么就攤上這事傍念〗靡模” “怎么了?”我有些...
    開封第一講書人閱讀 164,298評論 0 354
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵憋槐,是天一觀的道長双藕。 經(jīng)常有香客問我,道長阳仔,這世上最難降的妖魔是什么忧陪? 我笑而不...
    開封第一講書人閱讀 58,586評論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上嘶摊,老公的妹妹穿的比我還像新娘延蟹。我一直安慰自己,他們只是感情好叶堆,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,633評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布阱飘。 她就那樣靜靜地躺著,像睡著了一般虱颗。 火紅的嫁衣襯著肌膚如雪俯萌。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,488評論 1 302
  • 城市分裂傳說
    那天上枕,我揣著相機(jī)與錄音咐熙,去河邊找鬼。 笑死辨萍,一個胖子當(dāng)著我的面吹牛棋恼,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播锈玉,決...
    沈念sama閱讀 40,275評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼爪飘,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了拉背?” 一聲冷哼從身側(cè)響起师崎,我...
    開封第一講書人閱讀 39,176評論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎椅棺,沒想到半個月后犁罩,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,619評論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡两疚,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,819評論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年床估,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片诱渤。...
    茶點(diǎn)故事閱讀 39,932評論 1 348
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡丐巫,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出勺美,到底是詐尸還是另有隱情递胧,我是刑警寧澤,帶...
    沈念sama閱讀 35,655評論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布赡茸,位于F島的核電站缎脾,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏坛掠。R本人自食惡果不足惜赊锚,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,265評論 3 329
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一治筒、第九天 我趴在偏房一處隱蔽的房頂上張望屉栓。 院中可真熱鬧舷蒲,春花似錦、人聲如沸友多。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,871評論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽域滥。三九已至纵柿,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間启绰,已是汗流浹背昂儒。 一陣腳步聲響...
    開封第一講書人閱讀 32,994評論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留委可,地道東北人渊跋。 一個月前我還...
    沈念sama閱讀 48,095評論 3 370
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像着倾,于是被迫代替她去往敵國和親拾酝。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,884評論 2 354

推薦閱讀更多精彩內(nèi)容