第九周作业

1、解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT
脚本

cat /root/access_log  | awk '{IP[$1]++}END{for(i in IP){print i,IP[i]}}'  > /tmp/hosts.txt
while read  ip number;do
if [ $number -gt 100 ] ;then
iptables -A INPUT -s $ip -j REJECT
echo "from $ip  $number rejected" >> /tmp/reject.txt
fi
done < /tmp/hosts.txt

计划任务

*/5 * * * * /data/check.sh

2、描述密钥交换的过程
1】客户端发起链接请求
2】服务端返回自己的公钥,以及一个会话ID(这一步客户端得到服务端公钥)
3】客户端生成密钥对
4】客户端用自己的公钥异或会话ID,计算出一个值Res,并用服务端的公钥加密
5】客户端发送加密后的值到服务端,服务端用私钥解密,得到Res
服务端用解密后的值Res异或会话ID,计算出客户端的公钥(这一步服务端得到客户端公钥)
6】最终:双方各自持有三个秘钥,分别为自己的一对公、私钥,以及对方的公钥,之后的所有通讯都会被加密

3、https的通信过程

  1. 客户端发起HTTPS请求
    用户在浏览器里输入一个https网址,然后连接到服务器的443端口
  2. 服务端的配置
    采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是
    自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹
    出提示页面。这套证书其实就是一对公钥和私钥
  3. 传送服务器的证书给客户端
    证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等
  4. 客户端解析验证服务器证书
    这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如:颁发机构,过期时间等
    等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一
    个随机值。然后用证书中公钥对该随机值进行非对称加密
  5. 客户端将加密信息传送服务器
    这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端
    的通信就可以通过这个随机值来进行加密解密了
  6. 服务端解密信息
    服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值
  7. 服务器加密信息并发送信息
    服务器将数据利用随机值进行对称加密,再发送给客户端
  8. 客户端接收并解密信息
    客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容

4、创建私有CA并进行证书申请。

建立私有CA及办法证书步骤:
1、创建所需要的文件

touch /etc/pki/CA/index.txt         #生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial       #指定第一个颁发证书的序列号

2、 CA生成签名私钥

cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)

3、CA生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

4、在需要申请证书的主机
①生成证书申请的签名私钥

(umask 066; openssl genrsa -out /data/test.key 2048)

②生成证书申请文件

openssl req -new -key /data/test.key -out /data/test.csr

5、将证书请求文件传输给CA

6、CA签署证书,并将证书颁发给请求者

openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100

(注意:默认要求 国家,省,公司名称三项必须和CA一致)

查看证书中的信息:

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态

吊销证书步骤
1、在客户端获取要吊销的证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

2、在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致

3、吊销证书:

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

4、指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行

echo 01 > /etc/pki/CA/crlnumber

5、更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem

查看crl文件:

openssl crl -in /etc/pki/CA/crl.pem -noout -text
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 第九周作业2019-08-19
    1、判断UID是否大于等于500,如果为真就显示为普通用户,如果为假就显示为系统或管理用户 awk -F:'{if...
    hl大宝阅读 2,405评论 0 0
  • 2019-05-20 第九周作业
    1、判断UID是否大于等于500,如果为真就显示为普通用户,如果为假就显示为系统或管理用户 2、显示用户id为奇数...
    ritch阅读 2,976评论 0 0
  • 第九周作业
    1、画出TSL链路的通信图 第一阶段:ClientHello: 支持的协议版本,比如tls 1.2 客户端生成一个...
    N37077ZZ阅读 1,937评论 0 0
  • 第九周作业
    1、画出TSL链路的通信图 上图说明如下: 第一阶段:ClientHello: 支持的协议版本,比如tls 1.2...
    卫清华阅读 1,924评论 0 0
  • 第九周《简述常见加密算法及常见加密...》
    一、简述常见加密算法及常见加密算法原理,最好使用图例解说 基本概念 加密:将数据转换成不能直接读取的形式(即密文)...
    N32_Diamond阅读 4,966评论 1 1