第八周 加密和安全2

1、创建私有CA并进行证书申请

1 创建CA相关目录和文件


[root@centos8 ~]#mkdir /etc/pki/CA/{certs,crl,newcerts,private}

[root@centos8 ~]#touch /etc/pki/CA/index.txt

[root@centos8 ~]#echo 0F > /etc/pki/CA/serial

2 创建CA的私钥


[root@centos8 ~]#cd /etc/pki/CA/

[root@centos8 CA]#(umask 066;openssl genrsa -out private/cakey.pem 2048)

3 给CA颁发自签名证书

[root@centos8 ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650  -out /etc/pki/CA/cacert.pem 2048

4 用户生成私钥和证书申请


[root@centos8 ~]#mkdir /data/app1

[root@centos8 ~]#cd /data/app1/

#生成私钥文件


[root@centos8 app1]#(umask 066; openssl genrsa -out /data/app1.key 2048)

#生成证书申请文件


[root@centos8 app1]#openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

5 CA颁发证书


[root@centos8 app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

2、总结ssh常用参数、用法

格式:
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常用选项:
-p port 远程服务器监听的端口
-b 指定连接的源IP
-v 调试模式
-C 压缩方式
-X 支持x11转发
-t 强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh
remoteserver3
-o option 如: -o StrictHostKeyChecking=no
-i <file> 指定私钥文件路径,实现基于key验证,默认使用文件:~/.ssh/id_dsa,~/.ssh/id_ecdsa,~/.ssh/id_ed25519,~/.ssh/id_rsa等

范例:远程执行命令

[root@centos8 ~]#ssh 10.0.0.100 hostname -I

范例:在远程主机运行本地 shell脚本

[root@centos8 ~]#ssh 10.0.0.18 /bin/bash <test.sh

生成密钥对

[root@centos8 ~]#ssh-keygen

拷贝公钥

[root@centos8 ~]#ssh-copy-id -i .ssh/id_rsa.pub 10.0.0.7

3、总结sshd服务常用参数

服务器端的配置文件:/etc/ssh/sshd_config
服务器端的配置文件帮助:man 5 sshd_config
常用参数:
Port #生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者,权限等
MaxAuthTries 6 #pecifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value,additional failures are logged. The default is 6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高ssh连接速度可改为no
GSSAPIAuthentication yes #提高ssh连接速度可改为no
MaxStartups #未认证连接最大值,默认值10
Banner /path/file
以下可以限制可登录用户的办法:
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2

4、搭建dhcp服务,实现ip地址申请分发

[root@centos8 ~]#yum -y install dhcp-server
[root@centos8 ~]#cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf
[root@centos8 ~]#vim /etc/dhcp/dhcpd.conf    #修改subnet
[root@centos8 ~]#systemctl start dhcpd
[root@centos8 ~]#ss -ntul    #67端口已打开
[root@centos8 ~]#vim /etc/dhcp/dhcpd.conf    #修改要分配的地址范围
[root@centos8 ~]#systemctl restart dhcpd
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容