如何在本地配置openssl配置文件路径
点击联系发帖人
时间:2016-12-08 09:00
robert444 的BLOG
用户名:robert444
文章数:25
访问量:2495
注册日期:
阅读量:5863
阅读量:12276
阅读量:383947
阅读量:1075278
51CTO推荐博文
&&&&在互联网高速发展的今天,安全是一项必不可少的工作内容. 数据在互联网上能够安全准确完整的传输是一个得大的难题.很幸运的是我们有openssl这样的解决方案,它能实现众多的加密算法,为我们的数据安全保驾护航.&&&&我们先了解一下openssl的基本用法.openssl支持对称加密,和单向加密&对称加密:子命令&&&&&&&&&&&&gpg&&&&&&&&&&&&openssl&&&&&&&&&&&&enc算法:DES, 3DES, AES, Blowfish, Twofish, RC6, idea, CAST5&&&&&&&&&对称加密是可以是密钥对加密, 有密钥其中的一个加密得用密钥的另一半解密&&&&&&&&也可以是同一个密钥加密解密单向加密:&&&&有不可逆的特性,而且是定长输出& & 算法:md5,sha1,sha256,sha384,sha512,我们来做一些案例说明对称加密[&tmp]# openssl enc -e -des3 -a -salt -in ./messages -out ./messages.jm 中间会交互输入密码enc 是openssl的子命令,指对称加密用 , 能还原 &-des3 加密算法-a base64 的编码方式-salt "加盐"-e 加密-d 解密&-in url 要加密的文件-out 输出的密文文件[&tmp]# openssl enc -d -des3 -a -salt -in messages.jm -out messages.jlm & &同样会交互输入密码以解密和加密不同的是有加密的选项 -e 改成了 -d ,输入的是密文文件,还原解密明文 ,其它的选项以及参数要和加密时一样,否则解密结果不对单项加密[&tmp]# md5sum messages&c23ffe42fdb66c39a5f1d messages[&tmp]# openssl dgst -md5 messages&MD5(messages)=&c23ffe42fdb66c39a5f1ddgst 是单项加密-md5 加密算法& & & & & &还有这么多种加密算法 -md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & -1 表示使用md5 算法加密[&tmp]#&openssl passwd -1 -salt 1234567e &&& &&通过openssl 的子命令 passwd & 的md5 算法,加点 "盐" 1234567e 得到密码Password:&$1$1234567e$rBE86JiDGHwdgMmlwwWYc0passwd子命令-1 选项是指用md5加密-salt 指加盐码[&tmp]#&openssl rand -base64 6&6xnBZ8ZN&[&tmp]#&openssl rand -hex 6&f818d9e06072rand子命令 & &生成随机字符-base64 # & &base64编码选项 &后面通常跟一个长度选项&-hex # & & hex编码选项 后面也是跟一个长度选项&[&tmp]#&openssl passwd -1 -salt `openssl rand -hex 4`&Password:&$1$17482cc8$xMw7laryfvFWDGtaDRnCL. =&组合使用,通过openssl 的子命令rand的hex编码生成随机字串生成密钥:(umask 077; openssl genrsa -out ./abc.txt -des3)在当前目录下生成一个权限为700的以-des3生成的密钥&genrsa 子命令&-des encrypt the generated key with DES in cbc mode&-des3 encrypt the generated key with DES in ede cbc mode (168 bit key)&-idea encrypt the generated key with IDEA in cbc mode&-seed & encrypt PEM output with cbc seed&&-aes128, -aes192, -aes256& & & & & & & & &encrypt PEM output with cbc aes&-camellia128, -camellia192, -camellia256& & & & & & & & &encrypt PEM output with cbc camellia & 有各种的加密算法& 提出公钥:&[root@www tmp]# openssl rsa -in ./abc.txt -noout -pubout -text&rsa 子命令-in 来源的加密文件-noout 不输出编码版本&-pubout 输出公钥-text 以文本输出Enter pass phrase for abc.txt:&Private-Key: (1024 bit)&modulus:&00:d9:e7:d5:29:b3:40:23:f7:44:b8:52:90:61:41:&a8:a9:73:80:4f:01:70:6a:5b:e9:9f:0a:2c:1f:d4:&27:57:82:b9:44:51:d6:48:5f:99:06:75:94:54:ef:&8e:88:62:9d:d1:fb:d7:3d:5f:fd:8d:a9:07:e1:56:&15:3f:6b:9a:3b:a8:c1:ad:d1:aa:32:74:c5:88:54:&59:8b:47:26:58:ba:e3:e8:d7:69:25:11:76:bd:92:&5e:e2:87:2d:4d:ef:c5:a3:90:67:35:a7:99:36:44:&db:2b:bc:b6:a4:f2:a3:f0:86:7b:c7:9e:6f:05:6f:&96:40:cc:ad:39:77:b8:c4:6d&publicExponent: 601) & ........==&后面好长好长,这里省略以上是输出结果,如果仅想看输出的公钥,按以下方式执行[&tmp]#&openssl rsa -in abc.txt -pubout & & &[不要 -noout &-text ]Enter pass phrase for abc.txt:&writing RSA key&-----BEGIN PUBLIC KEY-----&MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDZ59Ups0Aj90S4UpBhQaipc4BP&AXBqW+mfCiwf1CdXgrlEUdZIX5kGdZRU746IYp3R+9c9X/2NqQfhVhU/a5o7qMGt&0aoydMWIVFmLRyZYuuPo12klEXa9kl7ihy1N78WjkGc1p5k2RNsrvLak8qPwhnvH&nm8Fb5ZAzK05d7jEbQIDAQAB&-----END PUBLIC KEY-----但是以上的加密方式,无论哪一种都无法同时保证双方的主机通讯的保密性和完整性.那么此时我们就需要有一种安全机制,能够使通讯双方互换密钥,已实现安全通讯下面我们就以robert和judy的通讯作为例子,讲解双方安全通讯的过程.互联网上各主机的公钥是公开的,任何主机可随意获得.robert为了保证与judy的通讯的数据完整性,以及可靠性,用单向加密算法,得到数据报文的指纹信息再用自己的私钥对报文的指纹信息做对称加密[即数字签名]此时再将数据报文和报文的指纹信息对称加密结果 用密钥做对称加密[固然可以用judy的公钥对二者加密,但是速度极慢,效率极低]. 此时要解决的问题只是如何将对称加密的密钥交给judy的问题了.那么我们再对对称加密的密钥用judy的公钥加密.将加密结果和对称加密过的数据一并发送给judy.judy收到报文后,用自己的私钥解密,得到对称加密的密钥,再用对称加密的密钥解密对称算法得到的结果. 此时就能得到原报文,和robert私钥加密的报文指纹信息.&judy只需要对原报文做同样的单项加密就能得到原报文的指纹信息, 再用robert的公钥解密加密过的报文指纹信息,就能还原原报文的指纹信息, &将两种方法得到的指纹信息一比对,如果一致,则说明此次通讯安全完成.下图是 robert和judy通讯过程的图解.但是问题依然存在,robert怎么就能知道自己发送的消息就一定是到了judy的主机上呢? 中间有没有可能让别人路由截获,有人冒judy之名与robert通讯呢?这就需要用到了一种第三方的认证机制.&&&&国际上有第三方的权威认证机构ca. judy向ca申请证书. 申请时明确告知自己的所在国家,省份,城市,组织名称,部门名称,所在域名等信息. ca核实后给judy颁发证书.&&&&robert在与judy通讯的时候首先下载judy的证书,同时要据证书的信息到ca服务器上去验证, 如果验证信息真实有效,还在证书使用期,那么就可以确认judy主机的身份了.&那么我们又如何知道ca认证的主机是否直实呢? 很简单,下载ca的证书查看证书信息就行了. 那么ca的证又从何而来呢? 大家都相信ca的权威性,所以ca自己给自己发证.如果公司内部需要这样的一个认证机制,那怎么办呢?去ca申请证书代价不菲.成本太高. 解决方案很简单,自行建立 ca认证服务器.下面介绍一下ca服务器的建立过程,以及作为客户机的申请,ca服务器申批的过程.为了更深入的了解ca的建立机制,更方便的运用,我们先来了解一下ca创建所需要用到的配置文件/etc/pki/f, 需要注意的配置项有以下[配置文件]dir = /etc/pki/CA # Where everything is kept & & & & & & & CA工作目录certs = $dir/certs # Where the issued certs are kept & &存放证书数据crl_dir = $dir/crl # Where the issued crl are kept & & & &存放证书吊销列表database = $dir/index.txt # database index file. & & & &发出证书索引#unique_subject = no # Set to 'no' to allow creation of& & & & & & & & & & # several ctificates with same subject.new_certs_dir = $dir/newcerts # default place for new certs.certificate = $dir/cacert.pem # The CA certificateserial = $dir/serial # The current serial number & & & & & & & &证书序列号crlnumber = $dir/crlnumber # the current crl number & &证书吊销列表索引& & & & & & & & & & # must be commented out to leave a V1 CRLcrl = $dir/crl.pem # The current CRLprivate_key = $dir/private/cakey.pem# The private key & &私钥位置 & &RANDFILE = $dir/private/.rand # private random number file默认请求配置 &&&&&==&请求配置我已更改为我喜好的配置[ req_distinguished_name ]countryName = Country Name (2 letter code)countryName_default =&cn & &==&默认国家编码 cn&localityName_default =&zz ==&默认城市名 zz0.organizationName = Organization Name (eg, company)0.organizationName_default =&robert 默认公司(组织)名称&#organizationalUnitName_default =organizationalUnitName_default =&cto 所属部门一、建立CA服务器:& &1、生成密钥& (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) & 2048是密钥的长度==&没错,就这个命令,在 /etc/pki/CA/private 生成一个密钥文件cakey.pem [因为配置文件就是叫这个名字,所以必须生成一个叫cakey.pem的文件]&&2、自签证书& &# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 & & &(cacert.pem &这个文件名也是配置文件定义的)自签证书时,指定私钥文件,会自动提取出公钥文件, 并可指定有效期限 365天req 子命令&& & -new 生成新请求& & -x509 &创建自签署证书 & 这是专用选项,只有自签才有用 && & -key 指明私钥文件 /path/from/somefile& & -out 证书存入位置 & &/path/to/somefile& &-days 证书有效期, 只有在和x509一起用才有效,因为申请的证书不能自己决定有效时长,除非是自己给自己发证书[root@www&private]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 &执行此命令& & & & & & & & & & & & &签署 &新请求 &自签选项 & 来源私钥文件 & & & & & & & & & & & & & & & 生成的证书文件You are about to be asked to enter information that will be incorporated&into your certificate request.&What you are about to enter is what is called a Distinguished Name or a DN.&There are quite a few fields but you can leave some blank&For some fields there will be a default value,&If you enter '.', the field will be left blank.&-----&Country Name (2 letter code) [XX]:cn&State or Province Name (full name) []:hn&Locality Name (eg, city) [Default City]:zz&Organization Name (eg, company) [Default Company Ltd]:robert&Organizational Unit Name (eg, section) []:cto&Common Name (eg, your name or your server's hostname) []:&Email Address []:& & & & & & & & &填入各种信息 证书生成[root@www&CA]# pwd&/etc/pki/CA ==&在证书目录下[root@www&CA]# ls&cacert.pem&certs crl index.txt newcerts private serial & &==&果然有证书文件&3、初始化工作环境 & & &索引文件 &序列号文件& &# touch /etc/pki/CA/{index.txt,serial} &==&要想工作,就得有这两个文件 index.txt 索引文件,记录着颁发的证书信息& &# echo 01 & /etc/pki/CA/serial & &==&序列号文件,要指明从哪里开始二、节点申请证书:& &(一) 节点生成请求& & 1、生成密钥对儿& & # (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)& & 2、生成证书签署请求&[&httpd]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr&You are about to be asked to enter information that will be incorporated&into your certificate request.&What you are about to enter is what is called a Distinguished Name or a DN.&There are quite a few fields but you can leave some blank&For some fields there will be a default value,&If you enter '.', the field will be left blank.&-----&Country Name (2 letter code) [cn]: & & & & & &&==&使用配置文件的默认信息State or Province Name (full name) [hn]: & &&&==&使用配置文件的默认信息Locality Name (eg, city) [zz]: & & & & & & & &&&==&使用配置文件的默认信息Organization Name (eg, company) [robert]: & &&&==&使用配置文件的默认信息Organizational Unit Name (eg, section) [cto]: & &&&==&使用配置文件的默认信息Common Name (eg, your name or your server's hostname) []: ==&主机名[测试瞎编的,和本机保持一致]Email Address []:& & & & & & &==&邮件地址[测试,瞎编的]Please enter the following 'extra' attributes&to be sent with your certificate request&A challenge password []: & & ==&如果对方要签署就得要密码,此时不加密An optional company name []: & &=& 图省事,空吧&# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr&& 用上述命令生成的证书签署请求,就做好了请求文件& & 3、把签署请求文件发送给CA服务器[&ssl]# scp -P 22222 ./httpd.csr&:/tmp/ &=&此处能过scp 在22222号[修改的]的ssh服务端口 以robert的普通用户 发送到/tmp下&/etc/pki/CA/certs &==&一般发送的证书请求发到这个目录 & [或者让ca服务器创建一个目录/etc/pki/CA/csr/ , 让请求证书的用户都发到这里来 ]CA服务器端的工作:& & 签署证书& 1、验正证书中的信息;==&一般是手动验证& & 2、签署证书 & & & & & & & & & & & &请求的签署 & & & &签署证书输出 &有效期300天[&qishuzhengshu]# openssl ca -in ./httpd.csr -out ./httpd.crt -days 300 签署证书此时问你签不签 [没问题就签吧]&650) this.width=650;" src="/wyfs02/M02/43/D7/wKioL1Pd03uwbAaQAABalGlooEU385.jpg" style="float:" title="2.png" alt="wKioL1Pd03uwbAaQAABalGlooEU385.jpg" />&证书生成OK, &650) this.width=650;" src="/wyfs02/M02/43/D7/wKiom1Pd0mHDOe3LAACBIG1ijHs245.jpg" style="float:" title="3.png" alt="wKiom1Pd0mHDOe3LAACBIG1ijHs245.jpg" />签署好的证书在/etc/pki/CA/newcerts目录有记录& 3、发送给请求者;[&qishuzhengshu]# scp -P 22222 ./httpd.crt&:/tmp/ &以robert用户身份发送到刚才请求的172.16.26.3 的/tmp/目录下&mv /tmp/httpd.crt /etc/httpd/ssl & ==&请求者将证书 移到 /etc/httpd/ssl目录中&三、吊销证书& &(一)节点& &1、获取证书节点[serial]&[&ssl]# openssl x509 -in ./httpd.crt -noout -serial -subject&serial=01 ==&证书节点subject= /C=cn/ST=hn/O=robert/OU=cto/CN=/emailAddress=& &&==&证书信息(二) CA& &2、根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致;节点提交以下信息&serial=01&subject=&/C=cn/ST=hn/O=robert/OU=cto/CN=/emailAddress=CA查看证书信息, 看节点提交的信息与本地是否一致&[&CA]# cat index.txt&V Z
01 unknown /C=cn/ST=hn/O=robert/OU=cto/CN=/emailAddress=查看得知, 信息果然一致 [红色部分]& &3、吊销证书 [既然一致,可以吊销了] & #吊销前得有个文件存吊销编号 &echo 00 & /etc/pki/CA/crlnumber[root@www&newcerts]# openssl ca -revoke /etc/pki/CA/newcerts/01.pem&Using configuration from /etc/pki/f&Revoking Certificate 01.&Data Base Updated&4、更新证书吊销列表[&CA]# openssl ca -gencrl -out /etc/pki/CA/crl/dxca.crl&Using configuration from /etc/pki/f&[&CA]# ls /etc/pki/CA/crl&dxca.crl & & ==&果然有吊销列表文件5查看吊销列表文件[&crl]#&openssl crl -in&/etc/pki/CA/crl/dxca.crl&-noout -text&Certificate Revocation List (CRL):&Version 2 (0x1)&Signature Algorithm: sha1WithRSAEncryption&Issuer: /C=cn/ST=hn/L=zz/O=robert/OU=cto/CN=/emailAddress=& &&&==&反正是说来自这个信息的主机证书停用了Last Update: Aug 2 04:24:52 2014 GMT&Next Update: Sep 1 04:24:52 2014 GMT&CRL extensions:&X509v3 CRL Number:&0&Revoked Certificates:&Serial Number: 01&Revocation Date: Aug 2 04:20:11 2014 GMT&Signature Algorithm: sha1WithRSAEncryption&6c:1c:0b:74:a5:42:a7:10:1e:42:ad:9c:af:2d:57:d4:26:a5:&4b:76:6b:85:d0:94:48:0c:1c:8a:92:90:4f:97:69:ed:85:00:&8d:33:4f:d4:ff:4a:6a:d8:e7:62:79:f6:e9:01:b5:36:6e:e6:&3d:3b:f1:20:12:4a:2c:12:44:5b:03:b7:f5:ad:1a:ea:aa:88:&4b:83:c1:18:63:7a:05:75:f0:d8:22:4e:b9:07:bb:93:12:3c:&62:b8:ce:8a:0e:e5:57:08:a1:cc:b1:ed:f5:f1:c9:aa:e2:a8:&06:3b:25:24:67:47:fe:83:9e:89:6f:32:d4:c7:42:c9:82:aa:&9e:c8:6b:54:17:cd:9b:81:21:b3:07:04:ea:9e:2f:23:6f:15:&60:40:c1:9e:09:8c:98:f8:07:95:7c:2c:ae:7c:ab:3b:d3:2d:&28:e6:d1:3b:a9:5d:aa:b2:a9:46:ef:f1:10:08:48:fa:84:1d:&9c:6e:e7:10:0c:f8:a9:0b:23:65:c0:64:fc:9e:1f:0f:da:2a:&c4:83:5f:a2:42:72:59:3e:80:c4:3d:c5:3b:ac:d9:c1:5d:68:&c7:23:b5:c5:8e:f4:9b:b2:ce:59:29:dd:df:df:57:18:1f:fb:&bb:ef:70:2e:5a:1d:0c:44:70:28:40:36:86:07:97:0e:79:cd:&2d:d6:4a:46 &大功告成&以上是openssl 的加密 以及其安全通讯的机制.CA服务器的建立过程.下面来介绍一下在此基础上实现的通讯工具SSH是一种C/S架构的服务,其服务端是SSHD客户端的组件有scp 远程复制文件ssh 远程连接sftp 基于ssh的安全文件传输系统scp: 利用ssh协议在主机之间实现安全文件传输的工具&[robert@ct3 ~]$ scp root@172.16.26.5:/root/boot.iso ./&The authenticity of host '172.16.26.5 (172.16.26.5)' can't be established.&RSA key fingerprint is c8:b4:dc:b0:5d:8d:a5:96:31:b9:3e:27:4e:b0:36:2d.&Are you sure you want to continue connecting (yes/no)? yes ==&;因为是第一次连接,所以会询问是否进行连接Warning: Permanently added '172.16.26.5' (RSA) to the list of known hosts.&root@172.16.26.5's password: & & & & & & & &==&需要输入密码boot.iso 100% 37MB 4.6MB/s 00:08 & & &==&传送中[robert@ct3 ~]$&scp ./ct3.txt root@172.16.26.5:/root/ &&将本地文件ct3.txt 远程传送至 172.16.26.5的主机上/root目录[以root的身份]&root@172.16.26.5's password:&ct3.txt 100% 0 0.0KB/s 00:00 & & & & ==&传输文件[robert@ct3 ~]$如果需要复制目录,则需要加-r 选项 [递归复制目录] &加 - p 选项 ,保持源文件的元数据信息,包括属组,属主,mode等& & -r: 复制目录时使用& & -p: 保持源文件的元数据信息,包括mode和timestamp& & -q: 静默模式& & -p PORT: 指定ssh协议监听的端口如下,复制目录 会显示目录中的所有文件及复制过程650) this.width=650;" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />上述过程不方便操作,有点麻烦,想要安全的传输文件,还有更方便安全的用法基于ssh的ftp服务 =& sftp可以远程连接到对方主机的stfp服务, 通过切换路径, 查看目录下文件的方式,找到喜好的文件进行下载[ 也可以上传 ][&~]$ sftp root@172.16.26.5&Connecting to 172.16.26.5... &sftp& cd /tmpsftp& pwd&Remote working directory: /tmp&sftp& ls&ks-script-5pkrEC ks-script-5pkrEC.log tmpQiWZ_a tmph2beLk &yum.log&&sftp&&get ks-script-5pkrEC.log & &下载此文件到本地[与本地目录名一致的地方]Fetching /tmp/ks-script-5pkrEC.log to ks-script-5pkrEC.log/tmp/ks-script-5pkrEC.log 100% 346 0.3KB/s 00:00&sftp& cd /root ==&切换目录到/root家目录sftp& lsa.txt anaconda-ks.cfg boot.iso ct3.txt install.loginstall.log.syslog mycd myisosftp&&get a.txt & & ==&下载root的文件Fetching /root/a.txt to a.txtsftp&&put ct3.txt & &==&上传文件到远程主机Uploading ct3.txt to /root/ct3.txtct3.txt & & & & & & & & &&ssh服务固然安全但是我们也得优化其服务,让其工作使人更放心,下面我们讲讲它的最佳实践需要注意的要点sshd服务安全日志/var/log/secure & &==&安全日志&最佳实践:& 1、不要使用默认的22号端口; & & Port 22222& 2、不要使用protocol 1; & & & & & & & &Protocol 2& 3、限制可登录的用户 & & & & & & & & & && &白名单:& & AllowUsers user1 user2 ...& & AllowGroups grp1 grp2...& &黑名单:& & DenyUsers& & DenyGroups& 4、设定空闲会话超时时长 & & & && &ClientAliveInterval 300& &ClientAliveCountMax 0& 5、利用防火墙设置ssh访问策略; & &&& 6、仅监听在特定的IP地址,而非本机所有的IP地址;[如内网地址]&ListenAddress 0.0.0.0 改这里& 7、使用强密码策略& # tr -dc A-Za-z0-9_ &/dev/urandom | head -c 30 | xargs 用此命令生成随机密码作为登陆强密码& 8、使用基于密钥的认证; & & & &==&详见文后& 9、禁止使用空密码; & & & & PermitEmptyPasswords no& 10、禁止root用户直接登录; & &PermitRootLogin no& 11、限制ssh的访问频度 & &MaxAuthTries 6&& 12、做好日志,经常分析; ==&另作讨论&& -f指定保存密钥文件的位置 -P密码为空[''] & &==&这两项指定,以免交互[root@ct3 .ssh]#ssh-keygen -t rsa -f /root/.ssh/id_rsa -P ''&&==&生成密钥 &-t 指类型 rsa是一种密钥类型Generating public/private rsa key pair.&Your identification has been saved in /root/.ssh/id_rsa.&Your public key has been saved in /root/.ssh/id_rsa.pub.&The key fingerprint is:&e3:cb:d9:22:01:26:0b:82:4a:ea:5b:60:02:68:af:48&&The key's randomart image is:&+--[ RSA 2048]----+&| |&|. |&|+. |&|*.o o |&|*E = . S |&|B + .. . |&|o. . .. |&| .. ...+ |&| .. .+.. |&+-----------------+&==&密钥生成结果 当然光生成密钥是不够的,还需要将密钥信息写入要连接的主机上,有两种方法&{&方法一&&[&.ssh]# ls&authorized_keys id_rsa&id_rsa.pub&known_hosts & &==&红字是生成的密钥[&.ssh]# scp ./id_rsa.pub root@172.16.26.5:/root & & 将密钥发送到要连接的主机上&'s password:&id_rsa.pub 100% 401 0.4KB/s 00:00 & & & & & & ==: &&====================================&&&&此时 172.16.26.5主机接收到密钥要,要进行一个导入操作将对方发送来的 id_rsa.pub 文件 导入到 家目录下的 .ssh/authorized_keys 文件中650) this.width=650;" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />[&~]# ls&anaconda-ks.cfg a.txt boot.iso ct3.txt&id_rsa.pub&install.log install.log.syslog mycd myiso &[&~]#&ls&&.ssh/ &authorized_keys&id_rsa id_rsa.pub known_hosts&[&.~]# cat id_rsa.pub && &.ssh/authorized_keys ==& 将从 172.16.26.3接收的密钥文件内容导入 .ssh/authorized_keys& 文件中& & & & & & & & 172.16.26.5主机接收到密钥要,要进行一个导入操作 & &&&&=====================================&}{&方法二&&: &&[root@ct3 .ssh]# ssh-copy-id -i id_rsa.pub root@172.16.26.5&root@172.16.26.5's password: & & & &==&此时输入远程主机用户密码&Now try logging into the machine, with "ssh 'root@172.16.26.5'", and check in: &==&尝试将其记录到远程主机&.ssh/authorized_keys & &保存到.ssh/authorized_keys 文件中了 &&}to make sure we haven't added extra keys that you weren't expecting.[&.ssh]# ssh 172.16.26.5 & & ===&连接已将密钥导入的主机 &无需输入密码,就可以连接Last login: Wed Jul 30 22:41:28 2014 from 172.16.26.176&[&~]# ifconfig & & & & & & ==&验证 ,看以下ip地址,没错已登陆 172.16.26.5 主机eth0 Link encap:Ethernet HWaddr 00:0C:29:F3:FD:EB&inet addr:172.16.26.5&Bcast:172.16.255.255 Mask:255.255.0.0 &&使用window 环境的xshell软件也可以生成密钥,以安全访问远程主机&保存后关闭使用xshell自带的ftp功能,将文件传到远程主机上由于远程主机上禁止 root 用户登陆, 现演示在普通用户 robert 上做操作&&在远程主机172.16.26.2上作许可操作[&robert]# mkdir .ssh &==&在robert家目录下创建一个.ssh目录[&robert]# touch&.ssh/&authorized_keys& & &==&在robert家目录下创建允许密钥文件[&robert]# cat .ssh/id_rsa_rob_to_26.2.pub &&.ssh/authorized_keys & & ==&将win7 xshell生成的公钥文件导入密钥许可文件中&在win7的xshell上新建连接操作一切准备就绪,只要点击确定,就能连接远程主机了事实证明,连接已建立==&OK大功告成本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记
上传于||文档简介
&&OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记
阅读已结束,如果下载本文需要使用0下载券
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩1页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢}
用户名:robert444
文章数:25
访问量:2495
注册日期:
阅读量:5863
阅读量:12276
阅读量:383947
阅读量:1075278
51CTO推荐博文
&&&&在互联网高速发展的今天,安全是一项必不可少的工作内容. 数据在互联网上能够安全准确完整的传输是一个得大的难题.很幸运的是我们有openssl这样的解决方案,它能实现众多的加密算法,为我们的数据安全保驾护航.&&&&我们先了解一下openssl的基本用法.openssl支持对称加密,和单向加密&对称加密:子命令&&&&&&&&&&&&gpg&&&&&&&&&&&&openssl&&&&&&&&&&&&enc算法:DES, 3DES, AES, Blowfish, Twofish, RC6, idea, CAST5&&&&&&&&&对称加密是可以是密钥对加密, 有密钥其中的一个加密得用密钥的另一半解密&&&&&&&&也可以是同一个密钥加密解密单向加密:&&&&有不可逆的特性,而且是定长输出& & 算法:md5,sha1,sha256,sha384,sha512,我们来做一些案例说明对称加密[&tmp]# openssl enc -e -des3 -a -salt -in ./messages -out ./messages.jm 中间会交互输入密码enc 是openssl的子命令,指对称加密用 , 能还原 &-des3 加密算法-a base64 的编码方式-salt "加盐"-e 加密-d 解密&-in url 要加密的文件-out 输出的密文文件[&tmp]# openssl enc -d -des3 -a -salt -in messages.jm -out messages.jlm & &同样会交互输入密码以解密和加密不同的是有加密的选项 -e 改成了 -d ,输入的是密文文件,还原解密明文 ,其它的选项以及参数要和加密时一样,否则解密结果不对单项加密[&tmp]# md5sum messages&c23ffe42fdb66c39a5f1d messages[&tmp]# openssl dgst -md5 messages&MD5(messages)=&c23ffe42fdb66c39a5f1ddgst 是单项加密-md5 加密算法& & & & & &还有这么多种加密算法 -md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & -1 表示使用md5 算法加密[&tmp]#&openssl passwd -1 -salt 1234567e &&& &&通过openssl 的子命令 passwd & 的md5 算法,加点 "盐" 1234567e 得到密码Password:&$1$1234567e$rBE86JiDGHwdgMmlwwWYc0passwd子命令-1 选项是指用md5加密-salt 指加盐码[&tmp]#&openssl rand -base64 6&6xnBZ8ZN&[&tmp]#&openssl rand -hex 6&f818d9e06072rand子命令 & &生成随机字符-base64 # & &base64编码选项 &后面通常跟一个长度选项&-hex # & & hex编码选项 后面也是跟一个长度选项&[&tmp]#&openssl passwd -1 -salt `openssl rand -hex 4`&Password:&$1$17482cc8$xMw7laryfvFWDGtaDRnCL. =&组合使用,通过openssl 的子命令rand的hex编码生成随机字串生成密钥:(umask 077; openssl genrsa -out ./abc.txt -des3)在当前目录下生成一个权限为700的以-des3生成的密钥&genrsa 子命令&-des encrypt the generated key with DES in cbc mode&-des3 encrypt the generated key with DES in ede cbc mode (168 bit key)&-idea encrypt the generated key with IDEA in cbc mode&-seed & encrypt PEM output with cbc seed&&-aes128, -aes192, -aes256& & & & & & & & &encrypt PEM output with cbc aes&-camellia128, -camellia192, -camellia256& & & & & & & & &encrypt PEM output with cbc camellia & 有各种的加密算法& 提出公钥:&[root@www tmp]# openssl rsa -in ./abc.txt -noout -pubout -text&rsa 子命令-in 来源的加密文件-noout 不输出编码版本&-pubout 输出公钥-text 以文本输出Enter pass phrase for abc.txt:&Private-Key: (1024 bit)&modulus:&00:d9:e7:d5:29:b3:40:23:f7:44:b8:52:90:61:41:&a8:a9:73:80:4f:01:70:6a:5b:e9:9f:0a:2c:1f:d4:&27:57:82:b9:44:51:d6:48:5f:99:06:75:94:54:ef:&8e:88:62:9d:d1:fb:d7:3d:5f:fd:8d:a9:07:e1:56:&15:3f:6b:9a:3b:a8:c1:ad:d1:aa:32:74:c5:88:54:&59:8b:47:26:58:ba:e3:e8:d7:69:25:11:76:bd:92:&5e:e2:87:2d:4d:ef:c5:a3:90:67:35:a7:99:36:44:&db:2b:bc:b6:a4:f2:a3:f0:86:7b:c7:9e:6f:05:6f:&96:40:cc:ad:39:77:b8:c4:6d&publicExponent: 601) & ........==&后面好长好长,这里省略以上是输出结果,如果仅想看输出的公钥,按以下方式执行[&tmp]#&openssl rsa -in abc.txt -pubout & & &[不要 -noout &-text ]Enter pass phrase for abc.txt:&writing RSA key&-----BEGIN PUBLIC KEY-----&MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDZ59Ups0Aj90S4UpBhQaipc4BP&AXBqW+mfCiwf1CdXgrlEUdZIX5kGdZRU746IYp3R+9c9X/2NqQfhVhU/a5o7qMGt&0aoydMWIVFmLRyZYuuPo12klEXa9kl7ihy1N78WjkGc1p5k2RNsrvLak8qPwhnvH&nm8Fb5ZAzK05d7jEbQIDAQAB&-----END PUBLIC KEY-----但是以上的加密方式,无论哪一种都无法同时保证双方的主机通讯的保密性和完整性.那么此时我们就需要有一种安全机制,能够使通讯双方互换密钥,已实现安全通讯下面我们就以robert和judy的通讯作为例子,讲解双方安全通讯的过程.互联网上各主机的公钥是公开的,任何主机可随意获得.robert为了保证与judy的通讯的数据完整性,以及可靠性,用单向加密算法,得到数据报文的指纹信息再用自己的私钥对报文的指纹信息做对称加密[即数字签名]此时再将数据报文和报文的指纹信息对称加密结果 用密钥做对称加密[固然可以用judy的公钥对二者加密,但是速度极慢,效率极低]. 此时要解决的问题只是如何将对称加密的密钥交给judy的问题了.那么我们再对对称加密的密钥用judy的公钥加密.将加密结果和对称加密过的数据一并发送给judy.judy收到报文后,用自己的私钥解密,得到对称加密的密钥,再用对称加密的密钥解密对称算法得到的结果. 此时就能得到原报文,和robert私钥加密的报文指纹信息.&judy只需要对原报文做同样的单项加密就能得到原报文的指纹信息, 再用robert的公钥解密加密过的报文指纹信息,就能还原原报文的指纹信息, &将两种方法得到的指纹信息一比对,如果一致,则说明此次通讯安全完成.下图是 robert和judy通讯过程的图解.但是问题依然存在,robert怎么就能知道自己发送的消息就一定是到了judy的主机上呢? 中间有没有可能让别人路由截获,有人冒judy之名与robert通讯呢?这就需要用到了一种第三方的认证机制.&&&&国际上有第三方的权威认证机构ca. judy向ca申请证书. 申请时明确告知自己的所在国家,省份,城市,组织名称,部门名称,所在域名等信息. ca核实后给judy颁发证书.&&&&robert在与judy通讯的时候首先下载judy的证书,同时要据证书的信息到ca服务器上去验证, 如果验证信息真实有效,还在证书使用期,那么就可以确认judy主机的身份了.&那么我们又如何知道ca认证的主机是否直实呢? 很简单,下载ca的证书查看证书信息就行了. 那么ca的证又从何而来呢? 大家都相信ca的权威性,所以ca自己给自己发证.如果公司内部需要这样的一个认证机制,那怎么办呢?去ca申请证书代价不菲.成本太高. 解决方案很简单,自行建立 ca认证服务器.下面介绍一下ca服务器的建立过程,以及作为客户机的申请,ca服务器申批的过程.为了更深入的了解ca的建立机制,更方便的运用,我们先来了解一下ca创建所需要用到的配置文件/etc/pki/f, 需要注意的配置项有以下[配置文件]dir = /etc/pki/CA # Where everything is kept & & & & & & & CA工作目录certs = $dir/certs # Where the issued certs are kept & &存放证书数据crl_dir = $dir/crl # Where the issued crl are kept & & & &存放证书吊销列表database = $dir/index.txt # database index file. & & & &发出证书索引#unique_subject = no # Set to 'no' to allow creation of& & & & & & & & & & # several ctificates with same subject.new_certs_dir = $dir/newcerts # default place for new certs.certificate = $dir/cacert.pem # The CA certificateserial = $dir/serial # The current serial number & & & & & & & &证书序列号crlnumber = $dir/crlnumber # the current crl number & &证书吊销列表索引& & & & & & & & & & # must be commented out to leave a V1 CRLcrl = $dir/crl.pem # The current CRLprivate_key = $dir/private/cakey.pem# The private key & &私钥位置 & &RANDFILE = $dir/private/.rand # private random number file默认请求配置 &&&&&==&请求配置我已更改为我喜好的配置[ req_distinguished_name ]countryName = Country Name (2 letter code)countryName_default =&cn & &==&默认国家编码 cn&localityName_default =&zz ==&默认城市名 zz0.organizationName = Organization Name (eg, company)0.organizationName_default =&robert 默认公司(组织)名称&#organizationalUnitName_default =organizationalUnitName_default =&cto 所属部门一、建立CA服务器:& &1、生成密钥& (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) & 2048是密钥的长度==&没错,就这个命令,在 /etc/pki/CA/private 生成一个密钥文件cakey.pem [因为配置文件就是叫这个名字,所以必须生成一个叫cakey.pem的文件]&&2、自签证书& &# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 & & &(cacert.pem &这个文件名也是配置文件定义的)自签证书时,指定私钥文件,会自动提取出公钥文件, 并可指定有效期限 365天req 子命令&& & -new 生成新请求& & -x509 &创建自签署证书 & 这是专用选项,只有自签才有用 && & -key 指明私钥文件 /path/from/somefile& & -out 证书存入位置 & &/path/to/somefile& &-days 证书有效期, 只有在和x509一起用才有效,因为申请的证书不能自己决定有效时长,除非是自己给自己发证书[root@www&private]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365 &执行此命令& & & & & & & & & & & & &签署 &新请求 &自签选项 & 来源私钥文件 & & & & & & & & & & & & & & & 生成的证书文件You are about to be asked to enter information that will be incorporated&into your certificate request.&What you are about to enter is what is called a Distinguished Name or a DN.&There are quite a few fields but you can leave some blank&For some fields there will be a default value,&If you enter '.', the field will be left blank.&-----&Country Name (2 letter code) [XX]:cn&State or Province Name (full name) []:hn&Locality Name (eg, city) [Default City]:zz&Organization Name (eg, company) [Default Company Ltd]:robert&Organizational Unit Name (eg, section) []:cto&Common Name (eg, your name or your server's hostname) []:&Email Address []:& & & & & & & & &填入各种信息 证书生成[root@www&CA]# pwd&/etc/pki/CA ==&在证书目录下[root@www&CA]# ls&cacert.pem&certs crl index.txt newcerts private serial & &==&果然有证书文件&3、初始化工作环境 & & &索引文件 &序列号文件& &# touch /etc/pki/CA/{index.txt,serial} &==&要想工作,就得有这两个文件 index.txt 索引文件,记录着颁发的证书信息& &# echo 01 & /etc/pki/CA/serial & &==&序列号文件,要指明从哪里开始二、节点申请证书:& &(一) 节点生成请求& & 1、生成密钥对儿& & # (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)& & 2、生成证书签署请求&[&httpd]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr&You are about to be asked to enter information that will be incorporated&into your certificate request.&What you are about to enter is what is called a Distinguished Name or a DN.&There are quite a few fields but you can leave some blank&For some fields there will be a default value,&If you enter '.', the field will be left blank.&-----&Country Name (2 letter code) [cn]: & & & & & &&==&使用配置文件的默认信息State or Province Name (full name) [hn]: & &&&==&使用配置文件的默认信息Locality Name (eg, city) [zz]: & & & & & & & &&&==&使用配置文件的默认信息Organization Name (eg, company) [robert]: & &&&==&使用配置文件的默认信息Organizational Unit Name (eg, section) [cto]: & &&&==&使用配置文件的默认信息Common Name (eg, your name or your server's hostname) []: ==&主机名[测试瞎编的,和本机保持一致]Email Address []:& & & & & & &==&邮件地址[测试,瞎编的]Please enter the following 'extra' attributes&to be sent with your certificate request&A challenge password []: & & ==&如果对方要签署就得要密码,此时不加密An optional company name []: & &=& 图省事,空吧&# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr&& 用上述命令生成的证书签署请求,就做好了请求文件& & 3、把签署请求文件发送给CA服务器[&ssl]# scp -P 22222 ./httpd.csr&:/tmp/ &=&此处能过scp 在22222号[修改的]的ssh服务端口 以robert的普通用户 发送到/tmp下&/etc/pki/CA/certs &==&一般发送的证书请求发到这个目录 & [或者让ca服务器创建一个目录/etc/pki/CA/csr/ , 让请求证书的用户都发到这里来 ]CA服务器端的工作:& & 签署证书& 1、验正证书中的信息;==&一般是手动验证& & 2、签署证书 & & & & & & & & & & & &请求的签署 & & & &签署证书输出 &有效期300天[&qishuzhengshu]# openssl ca -in ./httpd.csr -out ./httpd.crt -days 300 签署证书此时问你签不签 [没问题就签吧]&650) this.width=650;" src="/wyfs02/M02/43/D7/wKioL1Pd03uwbAaQAABalGlooEU385.jpg" style="float:" title="2.png" alt="wKioL1Pd03uwbAaQAABalGlooEU385.jpg" />&证书生成OK, &650) this.width=650;" src="/wyfs02/M02/43/D7/wKiom1Pd0mHDOe3LAACBIG1ijHs245.jpg" style="float:" title="3.png" alt="wKiom1Pd0mHDOe3LAACBIG1ijHs245.jpg" />签署好的证书在/etc/pki/CA/newcerts目录有记录& 3、发送给请求者;[&qishuzhengshu]# scp -P 22222 ./httpd.crt&:/tmp/ &以robert用户身份发送到刚才请求的172.16.26.3 的/tmp/目录下&mv /tmp/httpd.crt /etc/httpd/ssl & ==&请求者将证书 移到 /etc/httpd/ssl目录中&三、吊销证书& &(一)节点& &1、获取证书节点[serial]&[&ssl]# openssl x509 -in ./httpd.crt -noout -serial -subject&serial=01 ==&证书节点subject= /C=cn/ST=hn/O=robert/OU=cto/CN=/emailAddress=& &&==&证书信息(二) CA& &2、根据节点提交的serial和subject信息来验正与index.txt文件中的信息是否一致;节点提交以下信息&serial=01&subject=&/C=cn/ST=hn/O=robert/OU=cto/CN=/emailAddress=CA查看证书信息, 看节点提交的信息与本地是否一致&[&CA]# cat index.txt&V Z
01 unknown /C=cn/ST=hn/O=robert/OU=cto/CN=/emailAddress=查看得知, 信息果然一致 [红色部分]& &3、吊销证书 [既然一致,可以吊销了] & #吊销前得有个文件存吊销编号 &echo 00 & /etc/pki/CA/crlnumber[root@www&newcerts]# openssl ca -revoke /etc/pki/CA/newcerts/01.pem&Using configuration from /etc/pki/f&Revoking Certificate 01.&Data Base Updated&4、更新证书吊销列表[&CA]# openssl ca -gencrl -out /etc/pki/CA/crl/dxca.crl&Using configuration from /etc/pki/f&[&CA]# ls /etc/pki/CA/crl&dxca.crl & & ==&果然有吊销列表文件5查看吊销列表文件[&crl]#&openssl crl -in&/etc/pki/CA/crl/dxca.crl&-noout -text&Certificate Revocation List (CRL):&Version 2 (0x1)&Signature Algorithm: sha1WithRSAEncryption&Issuer: /C=cn/ST=hn/L=zz/O=robert/OU=cto/CN=/emailAddress=& &&&==&反正是说来自这个信息的主机证书停用了Last Update: Aug 2 04:24:52 2014 GMT&Next Update: Sep 1 04:24:52 2014 GMT&CRL extensions:&X509v3 CRL Number:&0&Revoked Certificates:&Serial Number: 01&Revocation Date: Aug 2 04:20:11 2014 GMT&Signature Algorithm: sha1WithRSAEncryption&6c:1c:0b:74:a5:42:a7:10:1e:42:ad:9c:af:2d:57:d4:26:a5:&4b:76:6b:85:d0:94:48:0c:1c:8a:92:90:4f:97:69:ed:85:00:&8d:33:4f:d4:ff:4a:6a:d8:e7:62:79:f6:e9:01:b5:36:6e:e6:&3d:3b:f1:20:12:4a:2c:12:44:5b:03:b7:f5:ad:1a:ea:aa:88:&4b:83:c1:18:63:7a:05:75:f0:d8:22:4e:b9:07:bb:93:12:3c:&62:b8:ce:8a:0e:e5:57:08:a1:cc:b1:ed:f5:f1:c9:aa:e2:a8:&06:3b:25:24:67:47:fe:83:9e:89:6f:32:d4:c7:42:c9:82:aa:&9e:c8:6b:54:17:cd:9b:81:21:b3:07:04:ea:9e:2f:23:6f:15:&60:40:c1:9e:09:8c:98:f8:07:95:7c:2c:ae:7c:ab:3b:d3:2d:&28:e6:d1:3b:a9:5d:aa:b2:a9:46:ef:f1:10:08:48:fa:84:1d:&9c:6e:e7:10:0c:f8:a9:0b:23:65:c0:64:fc:9e:1f:0f:da:2a:&c4:83:5f:a2:42:72:59:3e:80:c4:3d:c5:3b:ac:d9:c1:5d:68:&c7:23:b5:c5:8e:f4:9b:b2:ce:59:29:dd:df:df:57:18:1f:fb:&bb:ef:70:2e:5a:1d:0c:44:70:28:40:36:86:07:97:0e:79:cd:&2d:d6:4a:46 &大功告成&以上是openssl 的加密 以及其安全通讯的机制.CA服务器的建立过程.下面来介绍一下在此基础上实现的通讯工具SSH是一种C/S架构的服务,其服务端是SSHD客户端的组件有scp 远程复制文件ssh 远程连接sftp 基于ssh的安全文件传输系统scp: 利用ssh协议在主机之间实现安全文件传输的工具&[robert@ct3 ~]$ scp root@172.16.26.5:/root/boot.iso ./&The authenticity of host '172.16.26.5 (172.16.26.5)' can't be established.&RSA key fingerprint is c8:b4:dc:b0:5d:8d:a5:96:31:b9:3e:27:4e:b0:36:2d.&Are you sure you want to continue connecting (yes/no)? yes ==&;因为是第一次连接,所以会询问是否进行连接Warning: Permanently added '172.16.26.5' (RSA) to the list of known hosts.&root@172.16.26.5's password: & & & & & & & &==&需要输入密码boot.iso 100% 37MB 4.6MB/s 00:08 & & &==&传送中[robert@ct3 ~]$&scp ./ct3.txt root@172.16.26.5:/root/ &&将本地文件ct3.txt 远程传送至 172.16.26.5的主机上/root目录[以root的身份]&root@172.16.26.5's password:&ct3.txt 100% 0 0.0KB/s 00:00 & & & & ==&传输文件[robert@ct3 ~]$如果需要复制目录,则需要加-r 选项 [递归复制目录] &加 - p 选项 ,保持源文件的元数据信息,包括属组,属主,mode等& & -r: 复制目录时使用& & -p: 保持源文件的元数据信息,包括mode和timestamp& & -q: 静默模式& & -p PORT: 指定ssh协议监听的端口如下,复制目录 会显示目录中的所有文件及复制过程650) this.width=650;" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />上述过程不方便操作,有点麻烦,想要安全的传输文件,还有更方便安全的用法基于ssh的ftp服务 =& sftp可以远程连接到对方主机的stfp服务, 通过切换路径, 查看目录下文件的方式,找到喜好的文件进行下载[ 也可以上传 ][&~]$ sftp root@172.16.26.5&Connecting to 172.16.26.5... &sftp& cd /tmpsftp& pwd&Remote working directory: /tmp&sftp& ls&ks-script-5pkrEC ks-script-5pkrEC.log tmpQiWZ_a tmph2beLk &yum.log&&sftp&&get ks-script-5pkrEC.log & &下载此文件到本地[与本地目录名一致的地方]Fetching /tmp/ks-script-5pkrEC.log to ks-script-5pkrEC.log/tmp/ks-script-5pkrEC.log 100% 346 0.3KB/s 00:00&sftp& cd /root ==&切换目录到/root家目录sftp& lsa.txt anaconda-ks.cfg boot.iso ct3.txt install.loginstall.log.syslog mycd myisosftp&&get a.txt & & ==&下载root的文件Fetching /root/a.txt to a.txtsftp&&put ct3.txt & &==&上传文件到远程主机Uploading ct3.txt to /root/ct3.txtct3.txt & & & & & & & & &&ssh服务固然安全但是我们也得优化其服务,让其工作使人更放心,下面我们讲讲它的最佳实践需要注意的要点sshd服务安全日志/var/log/secure & &==&安全日志&最佳实践:& 1、不要使用默认的22号端口; & & Port 22222& 2、不要使用protocol 1; & & & & & & & &Protocol 2& 3、限制可登录的用户 & & & & & & & & & && &白名单:& & AllowUsers user1 user2 ...& & AllowGroups grp1 grp2...& &黑名单:& & DenyUsers& & DenyGroups& 4、设定空闲会话超时时长 & & & && &ClientAliveInterval 300& &ClientAliveCountMax 0& 5、利用防火墙设置ssh访问策略; & &&& 6、仅监听在特定的IP地址,而非本机所有的IP地址;[如内网地址]&ListenAddress 0.0.0.0 改这里& 7、使用强密码策略& # tr -dc A-Za-z0-9_ &/dev/urandom | head -c 30 | xargs 用此命令生成随机密码作为登陆强密码& 8、使用基于密钥的认证; & & & &==&详见文后& 9、禁止使用空密码; & & & & PermitEmptyPasswords no& 10、禁止root用户直接登录; & &PermitRootLogin no& 11、限制ssh的访问频度 & &MaxAuthTries 6&& 12、做好日志,经常分析; ==&另作讨论&& -f指定保存密钥文件的位置 -P密码为空[''] & &==&这两项指定,以免交互[root@ct3 .ssh]#ssh-keygen -t rsa -f /root/.ssh/id_rsa -P ''&&==&生成密钥 &-t 指类型 rsa是一种密钥类型Generating public/private rsa key pair.&Your identification has been saved in /root/.ssh/id_rsa.&Your public key has been saved in /root/.ssh/id_rsa.pub.&The key fingerprint is:&e3:cb:d9:22:01:26:0b:82:4a:ea:5b:60:02:68:af:48&&The key's randomart image is:&+--[ RSA 2048]----+&| |&|. |&|+. |&|*.o o |&|*E = . S |&|B + .. . |&|o. . .. |&| .. ...+ |&| .. .+.. |&+-----------------+&==&密钥生成结果 当然光生成密钥是不够的,还需要将密钥信息写入要连接的主机上,有两种方法&{&方法一&&[&.ssh]# ls&authorized_keys id_rsa&id_rsa.pub&known_hosts & &==&红字是生成的密钥[&.ssh]# scp ./id_rsa.pub root@172.16.26.5:/root & & 将密钥发送到要连接的主机上&'s password:&id_rsa.pub 100% 401 0.4KB/s 00:00 & & & & & & ==: &&====================================&&&&此时 172.16.26.5主机接收到密钥要,要进行一个导入操作将对方发送来的 id_rsa.pub 文件 导入到 家目录下的 .ssh/authorized_keys 文件中650) this.width=650;" src="/e/u261/themes/default/images/spacer.gif" style="background:url(&/e/u261/lang/zh-cn/images/localimage.png&) no-border:1px solid #" alt="spacer.gif" />[&~]# ls&anaconda-ks.cfg a.txt boot.iso ct3.txt&id_rsa.pub&install.log install.log.syslog mycd myiso &[&~]#&ls&&.ssh/ &authorized_keys&id_rsa id_rsa.pub known_hosts&[&.~]# cat id_rsa.pub && &.ssh/authorized_keys ==& 将从 172.16.26.3接收的密钥文件内容导入 .ssh/authorized_keys& 文件中& & & & & & & & 172.16.26.5主机接收到密钥要,要进行一个导入操作 & &&&&=====================================&}{&方法二&&: &&[root@ct3 .ssh]# ssh-copy-id -i id_rsa.pub root@172.16.26.5&root@172.16.26.5's password: & & & &==&此时输入远程主机用户密码&Now try logging into the machine, with "ssh 'root@172.16.26.5'", and check in: &==&尝试将其记录到远程主机&.ssh/authorized_keys & &保存到.ssh/authorized_keys 文件中了 &&}to make sure we haven't added extra keys that you weren't expecting.[&.ssh]# ssh 172.16.26.5 & & ===&连接已将密钥导入的主机 &无需输入密码,就可以连接Last login: Wed Jul 30 22:41:28 2014 from 172.16.26.176&[&~]# ifconfig & & & & & & ==&验证 ,看以下ip地址,没错已登陆 172.16.26.5 主机eth0 Link encap:Ethernet HWaddr 00:0C:29:F3:FD:EB&inet addr:172.16.26.5&Bcast:172.16.255.255 Mask:255.255.0.0 &&使用window 环境的xshell软件也可以生成密钥,以安全访问远程主机&保存后关闭使用xshell自带的ftp功能,将文件传到远程主机上由于远程主机上禁止 root 用户登陆, 现演示在普通用户 robert 上做操作&&在远程主机172.16.26.2上作许可操作[&robert]# mkdir .ssh &==&在robert家目录下创建一个.ssh目录[&robert]# touch&.ssh/&authorized_keys& & &==&在robert家目录下创建允许密钥文件[&robert]# cat .ssh/id_rsa_rob_to_26.2.pub &&.ssh/authorized_keys & & ==&将win7 xshell生成的公钥文件导入密钥许可文件中&在win7的xshell上新建连接操作一切准备就绪,只要点击确定,就能连接远程主机了事实证明,连接已建立==&OK大功告成本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记
上传于||文档简介
&&OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记
阅读已结束,如果下载本文需要使用0下载券
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩1页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢}
我要回帖
更多关于 openssl.cnf 配置 的文章
更多推荐
- ·qq消息超过两分钟怎么qq查看对方已撤回消息啊
- ·京东plus会员怎么使用开通?
- ·沐曦股票退市了手里的股票怎么办在那上市的?
- ·百度怎么找回以前的收藏知道哪里能看收藏,老版本?
- ·前一阵抖音比较火的音乐游戏泽连斯基跳舞的很有喜感歌曲名叫什么?
- ·什么音乐软件在iphone音乐歌词同步上可以显示歌词
- ·我下载的方舟多少G生存,下载11G安装30多G为什么
- ·注册支付宝注册后多久可以正常使用
- ·如何用matlab做快速傅里叶反变换换
- ·如何评价115网盘的甄嬛传弹幕 网盘功能
- ·Chrome谷歌浏览器怎么用不了中的谷歌搜索无法使用怎么办
- ·若晨多肉的价格实惠吗?有石狮吧的网友买过这个牌子的吗?
- ·I7一代和I5三代比,盛势到底什么时候播优略势在哪
- ·nodejs虚拟运行环境怎么安装nodejs环境
- ·智能哲学:如何判断一台机器是不是用哲学分析人工智能能
- ·32G,看看我的电池续航是不是交了社保还算应届生吗变态
- ·几乎试一遍网贷了,不网贷老是综合评分不足足就是暂不提供借款服务,无抵押,
- ·跟HART通讯的为什么要接一个250欧姆电阻的作用的电阻
- ·和高通骁龙处理器排行合作的Windows 10移动终端何时才能用上?
- ·电信20m看电视会卡吗是安广好还是电信好
- ·如何在本地配置openssl配置文件路径
- ·你好 ,wgac都什么原因能360wifi导致电脑死机机?怎么办啊?
- ·在线教育 云计算产业为什么开始大量使用云计算
- ·页码问题包括:有的时候一个word文档页码不连续有几种
- ·联通的信号移动基站多少米有危害对人有没有危害
- ·求助,CAQ网申语言成绩填错信息填错怎么办
- ·如何怎么去除下拉菜单单里的省电模式
- ·" 如何转成引号;宪法意识" 如何转成引号;在中国普通命中的生活中日益" 如何转成引号;激活" 如何转成引号;,体现了什么道理
- ·如何评价前端架构师民工叔因为teambition登陆是react技术栈而离职
- ·红米3s解锁后怎么root已解锁已ROOT可以删除本机自带软件会卡米吗
- ·人工智能会超越人类吗真的超越人类了吗
- ·华为手机怎么样在相册和相机之间来回切换
- ·为什么她不lol怎么回复好友聊天聊天回我
- ·2017年陴县实况足球2017球员汉化PX2球员名单有没有?
- ·20172017赛季中超球队球衣版图,看看发生了哪些变化
- ·皇马“如愿”拿到小组第216强比赛晋级表模板16强?
