下面介绍的是Linux的加密与解密、OpenSSL(SSL/TLS)、OpenSSH(ssh)、dropbear。


一、数据的加密与解密

1、进程间通信基础

(1)、进程间通信方式

 同一主机间进程间的通信方式:signal、shm、semaphore、message queue(MQ、RabbitMQ)。

 不同主机进程间的通信方式:socket-pair。

(2)、套接字 -------IP:PORT

  套接字Socket:IP:PORT

  套接字,是进程的地址标识,一个套接字就是指特定主机上的特定应用程序。

  三种套接字:流套接字(基于TCP协议)、数据报套接字(基于UDP协议)、裸套接字(基于底层协议)。

(3)、守护进程

 对于服务器,对套接字有监听机制,即进程的监听模式。我们就把具有这种监听模式的进程,称为守护进程,也叫服务进程。其套接字是在启动之前,向内核注册得到的,即分配了端口号。对于端口号,分为了以下4类:0(默认没有被使用)、1~1023(固定的端口)、1024~49151(注册端口)、49152~65535(动态端口)。


2、数据加密、解密基础

  数据安全的三个标志:机密性、完整性、可用性。

  数据安全的三类威胁:威胁机密性(窃听、嗅探、扫描、信息量分析)、威胁完整性(更改、伪装、重放、否认)、威胁可用性(拒绝服务)。

  数据安全的保护方法:加密解密技术。


3、加密算法

  传统的两种加密方法,有替代、置换;现代的加密方法,有块加密算法。

  常用的四种加密算法:对称加密算法、公钥加密算法、单向加密算法、密钥交换算法。

(1)、对称加密算法

  特点:加密和解密使用同一秘钥、加密的速度较快、块加密。

  缺点:对称加密,最大的缺点就是秘钥分发困难,容易泄露,其次,就是加密和解密保存的秘钥过多。

  其 6 种主流算法为:DES(56bit密钥,64bit块)、AES(128bit)、Blowfish、Twofish、IDEA、RC4/RC6。


(2)、公钥加密算法

  特点:秘钥由公钥和私钥组成、秘钥长度长(安全性高)。私钥,通过特定的工具创建生成(secret key/private key);公钥,从私钥中提取生成(public key)。

  缺点:公钥加密,秘钥较长,加密数据的时候,消耗的系统资源和时间都较多,很少用来加密大批量数据,常用来加密小数据,如秘钥等。

  用途:数字签名(身份确认)、秘钥交换、数据加密。

  其 3 种主流算法为:RSA、DSA、ELgamal。


(3)、单向加密算法

 特点:定长输出、雪崩效应。单向加密算法,只能加密,不能解密;可从数据中提取密码指纹。

 功能:保证数据的完整性。

 其 2 种主流算法为:md5(128bit定长输出)、sha系列。


(4)、秘钥交换算法 -----IKE

 秘钥交换算法,用公钥进行加密,一对主机共有4个秘钥,有两个共有的公钥,每个主机还有一个单独的私钥。每个主机用两个公钥加自己的私钥进行数据加密,解密时,解密主机再加入自己的私钥,进行解密。即,只有4个秘钥齐全才能进行解密操作,加强了数据的可靠性。


四种加密算法的联合应用示例:

  1)、通信双方互相交换证书,并到信任的CA(三方)进行证书验证;

  2)、发送方使用某种对称加密算法对数据进行【加密】;

       对加密后的数据使用【单向加密】计算其【特征值】;

       发送方再用自己的【私钥加密此特征值】,以证明数据来源的可靠;

       发送方使用接收方的证书加密对称密钥。

  3.接收方在收到数据之后,先使用自己的私钥解密对称密钥;

    然后使用发送方的公钥解密特征值;

    再利用相同的单向加密算法,重新计算加密数据的特征值。比较两个特征值,如果特征值一致,则表明数据完整;

    再用解密出来的对称密钥解密出原始数据。


CA发挥作用的步骤:

  1)、双方【交换证书】

  2)、双方协商【加密算法】

  3)、双方验证【证书真伪】 ---------检查以下四个方面

    用CA的公钥解密证书中CA的【签名】,能解密说明证书来源可靠。

    用通用的加密算法加密证书,取得【特征值】;与解密出来的特征值比较,如果相同,说明证书完整性可靠。

    检查证书的【有效期】是否在合法时间范围,如果过期则证书不被认可。

    检查证书的【主体名称】和此次通信的目标是否能够对应。


二、OpenSSL(SSL/TLS)

1、ssl/tsl简介

  ssl ---------叫做:安全的套接字层

  tsl ---------叫做:传输层安全(采用分层设计)


ssl/tsl【握手】的四个阶段:

(1)、客户端向服务器索要证书,并验证证书。(版本、算法等)

   -----------【客户端】生成一个随机数,用于生成会话秘钥。

(2)、双方协商生成会话秘钥。(版本、算法等)

   -----------【服务器】生成一个随机数,用于生成会话秘钥

(3)、进行加密通信(已生成会话秘钥)

   -----------【客户端】发送给服务器端一个随机数,用于服务器上公钥加密。

(4)、互相通告握手结束

   -----------服务器端收到【客户端】发来的一个随机数,用于发送数据并结束。


2、openssl及其组件 --------------实现加密功能

 openssl是一个开源实现ssl/tsl的标准。openssl是一个命令行工具,其使用多个子命令来实现加密解密的功能,其下的子命令有:dgst、enc、ca、req、genrsa、rand、crl、passwd、x509等。

 dgst ---------使用单向加密算法

 enc ----------使用对称加密算法

(1)、openssl enc 命令 ---------对称加密、解密

  格式:openssl enc -ciphername [-in filename] [-out filename] [-e] [-d] [-a/-base64] [-salt]

  常用选项:       

  -ciphername -------算法名称(des3、des、aes、rc4)

  -e ----------加密

  -d ----------解密

  -a/-base64 ------------纯文本格式编码

  -salt -------------盐随机

  -in filename --------------加密的文件路径

  -out filename -------------加密后的输出文件路径


  # openssl enc -e -salt -in fatab -out fstab.des3 -des3 -a -----------加密

  # openssl enc -d -in fstab.des3 -out fstab2 -des3 -a -----------解密


(2)、openssl dgst -----------单向加密(只能加密)

  格式:openssl dgst -ciphername /PATH/TO/SOME_FILE

  常用选项:

  -ciphername ------------算法名称(des3、des、aes、rc4)


  # openssl dgst -md5 fstab


(3)、openssl rand ------------生成随机数

  格式:openssl rand [-out file] [-base64] [-hex] num

  常用选项:

  -base64 ---------纯文本格式

  -hex ------------16进制

  num ----------生成的随机数长度(单位:字节)


  # openssl rand -base64 -hex 10


(4)、openssl passwd ------------生成用户密码

  格式:openssl passwd [-1] [-salt string]

  # openssl passwd -1 [-salt ‘openssl rand -base64 5’]


(5)、openssl genrsa -----------生成私钥

  格式:openssl genrsa [-out filename] [-des] [-des3] [-idea] [-f4] [numbits]

  # (umask 077;openssl genrsa -out myp.key 4096)


(6)、openssl rsa -----------生成公钥

  格式:openssl rsa [-in filename] [-out filename] [-pubout]

  # openssl rsa -in myp.key2 -out mykey.pub


(7)、openssl req ------------生成自签证书

  格式:# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3653

  常用选项:

  -new ----------生成新证书签署请求

  -x509 ----------生成自签证书,专用于私有CA的自签

  -key ------------指定私钥路径

  -out ------------自签证书保存路径

  -days ------------证书有效期限(单位:天)


3、建立私有CA步骤

(1)、创建主机私钥,抽取公钥

(2)、服务器上生成自签证书

(3)、生成目录级文件、文本格式文件

  三个【目录级】文件:cert、crl、newcerts。(/etc/pki/CA/cert  /etc/pki/CA/crl  /etc/pki/CA/newcerts)

  两个【文本格式】文件:serial、index.txt。(/etc/pki/CA/serial  /etc/pki/CA/index.txt)

  专有配置文件:/etc/pki/tls/openssl.cnf

  【公钥】保存位置:/etc/pki/CA/cacert.pem

  【私钥】保存位置:/etc/pki/CA/private/cakey.pem


例:

  # ( umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

  # openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3653

  # touch /etc/pki/CA/index.txt

  # echo 01 > /etc/pki/CA/serial ----------创建serial文件时,需给定一个初始序列号,一般为01。


4、https 的实现步骤(生成证书):

  #安装httpd程序

  # mkdir /etc/httpd/conf/ssl

  # cd /etc/httpd/conf/ssl

  ssl]# (umask 077;openssl genrsa -out /etc/httpd/conf/ssl/http.key 4096) ---------创建私钥

  ssl]# openssl req -new -key http.key -out httpd.csr -days 3653  --------生成自签证书

  ~]# openssl ca -in /tmp/csrs/httpd.csr -out /tmp/csrs/httpd.crt -days 365 ----------CA服务器签发证书

  ~]# openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -serila -subject  ------查看证书 


5、吊销证书步骤(在CA上执行):

  ~]# openssl x509 -in /etc/pki/CA/newcerts/01.pem -noout -serila ------获取客户端证书相应的序列号

  ~]# openssl ca -revoke /etc/pki/CA/newcerts/01.pem --------吊销证书,注意相应的序列号

  ~]# echo 01 > /etc/pki/CA/crlnumber ----------生成吊销证书的吊销编号

  ~]# openssl ca -genctl -out /etc/pki/CA/ca.crl -----------更新证书吊销列表


三、OpenSSH(ssh)

1、openssh基础:

 openssh 用于服务器端,远程登录。对于C/S架构,默认不允许管理员直接远程登录,在开启C/S服务之前,要先关闭防火墙和selinux。

 CentOS 6开启C/S服务为:# chkconfig telenet on

                        # service xinetd start

 CentOS 7开启C/S服务为:# systemctl start telnet.socket


2、ssh

 ssh是安全的shell,当前使用的ssh协议是sshv2。ssh有两种认证方式,即基于口令、基于秘钥两种人认证方式。

 openssh由两部分组成,即客户端(ssh)、服务器端(sshd)。


3、ssh客户端工具 --------------------------------- /etc/ssh/ssh_config

(1)、ssh命令 -------远程登录

  格式:ssh [options]... [user@]hostname [command]

  常用选项:

  -l user -----------指明登录的用户

  -p port ----------指明远程服务器目标端口

  -b bind_address -------------指明服务器ip地址

  -X -------------------X11转发

  -Y --------------受信任的X1转发

 客户端访问:

  # ssh -p PORT user@host

  # dbclient -p PORT user@host


(2)、ssh机制

 ssh-keygen命令 ------------【创建秘钥对】

  格式:ssh-keygen [-q] [-b bits] [-t type] [-f output_keyfile] [-P passphrase]

  常用选项:

  -q -----------静默模式

  -b bits --------------密钥的长度(RSA、DSA、ECDSA、ED25519)

  -t type --------------公钥加密算法类型(dsa、ecdsa、ed25519、rsa)

  -f output_keyfile -------------生成密钥文件的路径

  -P passphrase --------------私钥的加密密码


 ssh-copy-id命令 -----------【复制秘钥】

  格式:ssh-copy-id [-i [identity_file]] [-p port] [user@]hostname

  常用选项:

  -i ------------指定要复制的公钥文件

  -p port ----------------服务器端的端口


 scp命令 ----------------基于ssh连接完成【复制】

  格式:scp [options]... SRC HOST:/PATH/TO/DEST ------------推送

       scp [options]... HOST:/PATH/FROM/SRC DEST ----------拉取

  常用选项:

  -r ---------------递归复制

  -p ---------------保留源文件的权限

  -q ----------------静默模式

  -P port -----------------指定监听端口

     

(3)、ssh秘钥验证步骤:

  # ssh-keygen -t rsa -P 'passphrase' -f /PATH/TO/KEY_PAIR ------------生成秘钥对

  # ssh-copy-id -i /PATH/TO/PUBLIC_KEY user@HOSTNAME ----------发送公钥到目标服务器

  # ssh -l user HOSTNAME ------------远程登录(# ssh user@HOSTNAME)


4、ssh的服务器端工具 -----------------------------------/etc/ssh/sshd_config

  修改配置文件/etc/ssh/sshd_config后,必须读取配置文件,如下:

  # systemctl reload sshd.service

  # service sshd reload


四、dropbear -------------------用于嵌入式环境,实现ssh协议远程登录。

1、编译安装dropbear步骤:

(1)、解压

(2)、# ./configure

(3)、# make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert"

(4)、# make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert" install


2、dropbear命令

  格式:# dropbear -p IP:PORT -F -E

  常用选项:

  -p IP:PORT -----------------启动dropbear服务进程监听的套接字

  -F ----------------dropbear服务进程运行在前台

  -E ---------------进程消息从标准错误输出,不写入日志

  -w ----------------禁止root直接登录dropbear服务器


3、启动dropbear步骤:

  # dropbear -h

  # mkdir /etc/dropbear -------------秘钥文件目录

  # dropbearkey -t rsa -s 2048 -f /etc/dropbear/dropbear_rsa_host_key --------------创建秘钥

  # dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key

  # dropbearkey -t ecdsa -s 521 -f /etc/dropbear/dropbear_ecdsa_host_key

  # dropbear -p IP:PORT -F -E ------------启动dropbear,运行于前台