Lee木木
Lee木木

PKI介绍及搭建Linux私有CA (SSL 示例)

PKI介绍及搭建Linux私有CA

  • PKI 介绍
    • PKI 概念
  • CA
    • 构建私有CA
      • 步骤1:生成私钥
      • 步骤2:生成自签证书
      • 步骤3:为CA提供所需的目录及文件
    • 请求证书
      • 步骤1:查看httpd服务是否安装
      • 步骤2:需要用到证书的主机生成私钥
      • 步骤3:生成证书签署请求
      • 步骤4:将请求通过可靠方式发送给CA主机
      • 步骤5:在CA主机上签署证书
      • 步骤6:把生成的crt文件再发送回申请的web服务器
      • 步骤6:查看证书中的信息
    • 吊销证书
      • 步骤1:客户端获取要吊销的证书的serial(在使用证书的主机执行)
      • 步骤2: CA主机吊销证书
      • 步骤3:生成吊销证书的吊销编号(第一次吊销证书时执行)
      • 步骤4:更新证书吊销列表
      • 步骤5:查看 crl 文件
  • 如何让浏览器识别自签的证书
    • 1、Windows 浏览器
      • 证书管理器管理证书
      • Chrome 浏览器证书加载
    • 2、NSS 可信任根证书库

PKI 介绍

PKI的诞生主要是为了防范中间人攻击。中间人攻击如下图所示:
PKI介绍及搭建Linux私有CA (SSL 示例)_第1张图片

PKI 概念

PKI(Public Key Infrastructure):公钥基础设施,主要包括以下四个部分:

  1. 签证机构(CA)
  2. 注册机构(RA)
  3. 证书吊销列表(CRL)
  4. 证书存取库

X.509v3:定义了证书的结构以及认证协议标准。

  1. 版本号
  2. 序列号
  3. 签名算法ID
  4. 发行者名称
  5. 有效期限
  6. 主体名称
  7. 主体公钥
  8. 发行者的唯一标识
  9. 主体的唯一标识、
  10. 扩展
  11. 发行者的签名

CA

CA一般有公共信任的CA和私有CA。
建立私有CA使用的工具:OpenSSL 和 OpenCA 。

# openssl命令
	配置文件:/etc/pki/tls/openssl.cnf

构建私有CA

在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可。

步骤1:生成私钥

# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)         

[root@LeeMumu ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
........................++
........................++
e is 65537 (0x10001)

[root@LeeMumu CA]# ll /etc/pki/CA/private/cakey.pem 
-rw-------. 1 root root 3247 Jul 19 21:50 /etc/pki/CA/private/cakey.pem

[root@LeeMumu ~]# cat /etc/pki/CA/private/cakey.pem
-----BEGIN RSA PRIVATE KEY-----
MIIJKgIBAAKCAgEAzZJJ2dvomneSkZQpI4t//UUaEj/duUigQ7fVmbqbQvqEGzQU
86UaG7QgNiL6n1f9TQ8X+fbaQCofnWzTNof/Qkq3k4QPDLqrTQ4b646EZpihoc99
... ...
0xACKBZkrlssQJ9SrAa7wTrTBZ3GAxRSFrcQk5F5w+9W8FPedhywAkjbUO0uxAdt
oDrDhwcSPTnSWl9w5oUY9DfAwz6EXVxCgdKWrTKWeHyNjgp11YV1sBXKpLOS+A==
-----END RSA PRIVATE KEY-----

步骤2:生成自签证书

# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655     
		-new:生成新证书签署请求;                                                                             
		-x509:生成自签格式证书,专用于创建私有CA时;                                                          
		-key:生成请求时用到的私有文件路径;                                                                   
		-out:生成的请求文件路径;如果自签操作将直接生成签署过的证书;                                         
		-days:证书的有效时长,单位是day;                                                                                                                                         

[root@LeeMumu ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:JT
Organizational Unit Name (eg, section) []:NEO
Common Name (eg, your name or your server's hostname) []:JT.NEO
Email Address []:

[root@LeeMumu ~]# cd /etc/pki/CA/
[root@LeeMumu CA]# ls
cacert.pem  certs  crl  newcerts  private
[root@LeeMumu CA]# ll
total 4
-rw-r--r--. 1 root root 1960 Jul 19 21:52 cacert.pem
drwxr-xr-x. 2 root root    6 Oct 30  2018 certs
drwxr-xr-x. 2 root root    6 Oct 30  2018 crl
drwxr-xr-x. 2 root root    6 Oct 30  2018 newcerts
drwx------. 2 root root   23 Jul 19 21:50 private

步骤3:为CA提供所需的目录及文件

# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}                                                         
# touch  /etc/pki/CA/{serial,index.txt}                                                                
# echo  01 > /etc/pki/CA/serial    

[root@LeeMumu CA]# touch  /etc/pki/CA/{serial,index.txt}
[root@LeeMumu CA]# ll
total 4
-rw-r--r--. 1 root root 1960 Jul 19 21:52 cacert.pem
drwxr-xr-x. 2 root root    6 Oct 30  2018 certs
drwxr-xr-x. 2 root root    6 Oct 30  2018 crl
-rw-r--r--. 1 root root    0 Jul 19 21:53 index.txt
drwxr-xr-x. 2 root root    6 Oct 30  2018 newcerts
drwx------. 2 root root   23 Jul 19 21:50 private
-rw-r--r--. 1 root root    0 Jul 19 21:53 serial

[root@LeeMumu CA]# cat serial 
[root@LeeMumu CA]# echo  01 > /etc/pki/CA/serial
[root@LeeMumu CA]# cat serial 
01

请求证书

要用到证书进行安全通信的服务器,需要向CA请求签署证书。
下面以httpd为例进行讲解。

步骤1:查看httpd服务是否安装

# rpm -q httpd

[root@JiaoTangtang ~]# rpm -q httpd
httpd-2.4.6-89.el7.centos.x86_64

步骤2:需要用到证书的主机生成私钥

# mkdir  /etc/httpd/ssl 
# cd  /etc/httpd/ssl
# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)

[root@JiaoTangtang ~]# cd /etc/httpd/
[root@JiaoTangtang httpd]# ls
conf  conf.d  conf.modules.d  logs  modules  run
[root@JiaoTangtang httpd]# mkdir  /etc/httpd/ssl 
[root@JiaoTangtang httpd]# 
[root@JiaoTangtang httpd]# ls
conf  conf.d  conf.modules.d  logs  modules  run  ssl
[root@JiaoTangtang httpd]# cd /etc/httpd/ssl
[root@JiaoTangtang ssl]# 
[root@JiaoTangtang ssl]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)
Generating RSA private key, 2048 bit long modulus
.............................................+++
...........................+++
e is 65537 (0x10001)
[root@JiaoTangtang ssl]# ll
total 4
-rw-------. 1 root root 1679 Jul 19 22:00 httpd.key

步骤3:生成证书签署请求

# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365
	# 因为是私有CA,公司名一定要与CA一致
	# 主机名一定要与客户端访问的地址一致(后续使用的时候,不然会有证书名称不一致的告警提示)

[root@JiaoTangtang ssl]# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:JT
Organizational Unit Name (eg, section) []:NEO
Common Name (eg, your name or your server's hostname) []:JIAO.COM
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:root
An optional company name []:NEO
[root@JiaoTangtang ssl]# 
[root@JiaoTangtang ssl]# ls
httpd.csr  httpd.key

步骤4:将请求通过可靠方式发送给CA主机

# 可使用scp命令或其他可靠的方式发送给CA主机

[root@JiaoTangtang ssl]# scp httpd.csr [email protected]:/etc/pki/CA/certs
The authenticity of host '192.168.1.9 (192.168.1.9)' can't be established.
ECDSA key fingerprint is SHA256:FPBGn5p7YMfNDkVYCc3Fi9EOZiEkxRSM8P6QJU5wC8c.
ECDSA key fingerprint is MD5:d5:ec:ba:5f:cd:0b:ae:61:32:e4:38:3e:56:ed:ac:90.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.9' (ECDSA) to the list of known hosts.
[email protected]'s password: 
httpd.csr                                                 100% 1033   688.0KB/s   00:00 

# CA主机上进行查看是否发送成功
[root@LeeMumu certs]# ll
total 4
-rw-r--r--. 1 root root 1033 Jul 19 22:06 httpd.csr

步骤5:在CA主机上签署证书

~]# openssl ca  -in  /tmp/httpd.csr  -out  /etc/pki/CA/certs/httpd.crt  -days  365

[root@LeeMumu certs]# openssl ca -in /etc/pki/CA/certs/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jul 20 02:08:05 2019 GMT
            Not After : Jul 19 02:08:05 2020 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = BJ
            organizationName          = JT
            organizationalUnitName    = NEO
            commonName                = JIAO.COM
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                84:97:99:5A:EB:C6:B9:3E:D2:AE:10:CB:FE:D0:9F:C9:76:20:44:C4
            X509v3 Authority Key Identifier: 
                keyid:7D:5A:15:7D:9F:2E:F2:08:ED:09:57:B6:1A:41:8F:A9:8F:50:7C:0C

Certificate is to be certified until Jul 19 02:08:05 2020 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@LeeMumu certs]# 
[root@LeeMumu certs]# ll                      # 生成 httpd.crt
total 12
-rw-r--r--. 1 root root 5627 Jul 19 22:08 httpd.crt
-rw-r--r--. 1 root root 1033 Jul 19 22:06 httpd.csr

步骤6:把生成的crt文件再发送回申请的web服务器

# 可使用scp命令或其他可靠的方式发送给CA主机

[root@LeeMumu certs]# scp /etc/pki/CA/certs/httpd.crt [email protected]:/etc/pki/CA/certs/
The authenticity of host '192.168.1.10 (192.168.1.10)' can't be established.
ECDSA key fingerprint is SHA256:jiD9xP+ayA5wt4WMwKiXa9eVX7JAZF3MopajfwqB/50.
ECDSA key fingerprint is MD5:81:14:e6:5f:27:83:a0:8b:c2:88:35:a3:5b:0d:ae:b3.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.10' (ECDSA) to the list of known hosts.
[email protected]'s password: 
httpd.crt                                                 100% 5627     3.7MB/s   00:00

步骤6:查看证书中的信息

# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject
# 通常只看序列号和subject

# CA主机上查看
[root@LeeMumu certs]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject
serial=01
subject= /C=CN/ST=BJ/O=JT/OU=NEO/CN=JIAO.COM
[root@LeeMumu CA]# cat index.txt
V	200719020805Z		01	unknown	/C=CN/ST=BJ/O=JT/OU=NEO/CN=JIAO.COM

# 申请证书的web服务器上查看
[root@JiaoTangtang certs]#  openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject
serial=01
subject= /C=CN/ST=BJ/O=JT/OU=NEO/CN=JIAO.COM

吊销证书

步骤1:客户端获取要吊销的证书的serial(在使用证书的主机执行)

# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject

步骤2: CA主机吊销证书

先根据客户提交的serial和subject信息,对比其与本机数据库index.txt中存储的是否一致。

# openssl  ca  -revoke  /etc/pki/CA/newcerts/SERIAL.pem      # 吊销命令				
	# 其中的SERIAL要换成证书真正的序列号

步骤3:生成吊销证书的吊销编号(第一次吊销证书时执行)

# echo  01  > /etc/pki/CA/crlnumber

步骤4:更新证书吊销列表

# openssl  ca  -gencrl  -out  /etc/pki/CA/thisca.crl

步骤5:查看 crl 文件

# openssl  crl  -in  /etc/pki/CA/thisca.crl  -noout  -text  

示例:
[root@LeeMumu CA]# echo  01  > /etc/pki/CA/crlnumber
[root@LeeMumu CA]# openssl  ca  -revoke  /etc/pki/CA/newcerts/01.pem
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 01.
Data Base Updated

[root@LeeMumu CA]# openssl  ca  -gencrl  -out  thisca.crl
Using configuration from /etc/pki/tls/openssl.cnf

[root@LeeMumu CA]# openssl  crl  -in  thisca.crl  -noout  -text
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=CN/ST=BJ/L=BJ/O=JT/OU=NEO/CN=JT.NEO
        Last Update: Jul 20 02:19:16 2019 GMT
        Next Update: Aug 19 02:19:16 2019 GMT
        CRL extensions:
            X509v3 CRL Number: 
                1
Revoked Certificates:
    Serial Number: 01
        Revocation Date: Jul 20 02:19:00 2019 GMT
    Signature Algorithm: sha256WithRSAEncryption
         ac:fe:c5:5e:d1:96:13:6d:54:6f:b5:61:3c:2d:53:31:56:fd:
       	 ... ...
         dc:4f:35:a0:5d:e5:0a:fd

如何让浏览器识别自签的证书

自签名证书,由于浏览器不信任该证书,访问网站的时候总会提示安全风险,为了避免频繁的提示,可以手动将证书添加到浏览器的可信任根证书库中。

常见两种可信任根证书库:

  • Windows 可信任根证书库:被IE、Edge和Windows 平台的 Chrome 使用
  • NSS 可信任根证书库:被Firefox和Linux平台的 Chrome 使用。

1、Windows 浏览器

证书管理器管理证书

Windows 有一个证书管理器。所以不管是从 Windows 系统的证书管理器中导入安装证书,还是直接根据 IE 的提示来安装,效果都是一样的。唯一不同的是,通过 Windows 证书管理器来安装证书的话,需要先将安全证书(.crt 类型的那个文件)保存到本地磁盘。

在 Windows 7 中(via 微软),要查看或管理证书,必须以管理员身份进行登录,才能执行这些步骤。可以使用“证书管理器”查看有关证书的详细信息,修改、删除这些证书,或者申请新证书。要打开证书管理器:通过单击“开始”按钮,在“搜索”框中键入 certmgr.msc,然后按 Enter,打开“证书管理器”。‌ 如果系统提示输入管理员密码或进行确认,则需要键入密码或提供确认。

PKI介绍及搭建Linux私有CA (SSL 示例)_第2张图片
先展开左边栏里的“受信任的根证书颁发机构”,选中其下的“证书”,然后点击菜单栏的“操作”——>“所有任务”——>“导入”,即可打开证书导入向导。然后就可以接着前面的“证书导入向导”那幅图(快速跳转)开始往下操作了。

另外,在查看证书详情那一步,如果打开详细信息标签页,可以看到有个复制到文件的按钮,单击此按钮即可保存该证书为一个 CA 文件。

Chrome 浏览器证书加载

  • 打开 Chrome 浏览器
  • 选项 > 高级选项 > 管理证书…
  • 导入证书 > 下一步 > 选择 GoAgent/local 目录下的 CA.crt 证书 > 下一步 > 选择 证书存储:浏览… > 受信任的根证书颁发机构 > 下一步 … > 完成 (注意一定要选择受信任的根证书颁发机构)
  • 重启浏览器

2、NSS 可信任根证书库

  • 安装 nss-tools

    [root@neo ~]# yum install nss-tools -y
[root@neo ~]# yum info nss-tools
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.ustc.edu.cn
 * extras: centos.ustc.edu.cn
 * updates: centos.ustc.edu.cn
Installed Packages
Name        : nss-tools
Arch        : x86_64
Version     : 3.36.0
Release     : 7.1.el7_6
Size        : 2.0 M
Repo        : installed
From repo   : updates
Summary     : Tools for the Network Security Services
URL         : http://www.mozilla.org/projects/security/pki/nss/
License     : MPLv2.0
Description : Network Security Services (NSS) is a set of libraries designed to
            : support cross-platform development of security-enabled client and
            : server applications. Applications built with NSS can support SSL v2
            : and v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, X.509
            : v3 certificates, and other security standards.
            : 
            : Install the nss-tools package if you need command-line tools to
            : manipulate the NSS certificate and key database.

  • 列出安全数据库中的证书

    # certutil -L -d certdir
	说明:列出指定的目录certdir的所有证书,-d 后面接上证书库的目录  -L表示列出所有证书

  • 添加证书到数据库中

    # certutil  -A  -n  [email protected]   -t  "p,p,p"  -i  mycert.crt  -d  certdir
说明:
	-A     # 表示添加证书到数据库中
	-n     # 表示证书的呢称
	-t     # 表示设置信任属性
	-i     # 表示输入文件,即crt文件
	-d     # 后面接上证书库的目录

你可能感兴趣的:(Linux学习笔记)

  • Linux学习笔记16 - 系统命令 KAMI STUDIO Linux学习笔记linux学习笔记
    1.Linux常见系统管理命令命令含义格式su切换用户su[选项][用户名]ps显示系统由该用户运行的进程列表ps[选项]top动态显示系统中运行的程序(一般为每隔5s)topkill输出特定的信号给指定PID(进程号)的进程,并根据该信号完成指定的行为,其中可能的信号有进程挂起、进程等待、进程终止等kill[选项]进程号uname显示系统的信息uname[选项]setup系统图形化界面配置set
  • linux man date命令,Linux学习笔记之date命令 勃斯丶李mkq~~ linuxmandate命令
    一、自定义输出[root@cent1~]#date+%Y-%m-%d2010-07-17[root@cent1~]#[root@cent1~]#date+’%Y-%m-%d%H:%M:%S’2010-07-1722:55:32[root@cent1~]#[root@cent1~]#date+’%H:%M:%S’22:55:44[root@cent1~]#[root@cent1sbin]#date+
  • linux系统发行版安装,linux学习笔记(一)Linux的发行版&安装centos7 萌萌爱恋 linux系统发行版安装
    Linux的发行版Slackware特点就是安装灵活,目录结构严谨,版本力求稳定而非追新。s.u.s.eSuSE拥有界面友好的安装过程,还有图形管理工具。据说是最好看的linux图形界面,但是服务器上少有图形界面,不适合用于服务器。RedHatRedHatEnterpriseLinux(RHEL)RHEL,是redhat发展出来的企业版本分支,版本迭代慢。FedoraFedora是一套从RedHa
  • 2021-08-01 yqq32
    转载自https://blog.csdn.net/yy150122/article/details/106146414Linux从零开始学习笔记从零开始学习Linux,记录笔记,担心自己以后会忘,也供大家茶余饭后,闲来无事看看,自己的理解只能到这,能力有限。Linux学习笔记第一章Linux起源第二章系统分区第三章Linux安装与配置第四章Linux常用命令第一节文件处理命令第一讲命令格式与目录处
  • Linux学习笔记 卅云川
    指令集合指令内容startx纯文本界面下(不能有X存在)启动窗口界面的做法date显示日期与时间locale显示目前所支持的语系cal显示日历bc内建计算器manmanual(操作说明)的简写,查询用whatis相当于man-fapropos相当于man-kinfo查询用,将文件数据拆分后展示nano文书编辑器sync数据同步写入磁盘shutdown惯用的关机指令reboot重新启动halt系统停
  • CentOS虚拟机桥接方式没有IP地址如何解决?——田中智的Linux学习笔记 技术带师御坂云 cent虚拟机使用linuxcentos网络
    CentOS虚拟机桥接方式没有IP地址如何解决?——田中智的Linux学习笔记打开创建的CentOS7虚拟机,之前已经配置这个网络连接方式为桥接方式,输入【ipaddr】获取本机ip,但是这里除了本机的【127.0.0.1】之外,【ifcfg-ens33】作为虚拟机的外接网络却没有IP地址,甚至我用xshell远程都无法执行。此时我就要去找到【ifcfg-ens33】这个对应的脚本去配置一下。因为
  • Linux超详细笔记 Gunalaer Linuxlinux笔记运维
    文章目录Linux学习笔记操作系统Linux初识Linux的诞生Linux内核Linux发行版虚拟机VMware安装远程连接Linux系统FinalShellFinalShell连接LinuxWSL配置UbuntuLinux常用命令1.入门2.ls命令cd命令3.pwd命令4.相对路径和绝对路径5.mkdir命令6.文件操作命令(1)touch创建文件(2)cat查看文件内容(3)more查看文件
  • Linux基础-shell脚本变量 寒菜
    linux学习笔记之shell变量系统变量:env可以查看系统变量变量名作用$0当前脚本的名字$n传递给脚本或者函数的参数,n表示第几个参数$#传递给脚本或函数的参数个数$*传递给脚本或函数的所有参数$@传递给脚本或者函数的所有参数$$当前shell脚本进程的PID$?函数返回值,或者上个命令的退出状态$BASHBASH的二进制文件问的路径$BASH_ENVBASH的启动文件$BASH_VERSI
  • 【Linux学习笔记】入门2 -Linux常用的shell命令 redeemer奇 嵌入式Linux软件笔记嵌入式linuxshell
    在window系统下,使用GUI(图形用户界面),基本采用鼠标点击的方式完成操作。在Linux系统下,使用cmdline(命令行),基本采用输入命令的方式完成操作。1、shell命令通用格式command-options[argument]command:Shell命令名称。options:选项,同一种命令可能有不同的选项,不同的选项其实现的功能不同。argument:Shell命令是可以带参数的
  • linux学习笔记-文件默认权限和特殊权限(s、t) weixin_51502988 linux学习linux学习
    1.文件默认权限之前的文章中讲过用户管理时创建一个新账户和新群组时,系统的是按默认设置创建的,同样创建文件也是有默认设置的。1.1umask作用:查询或修改目前使用者在创建文件或目录时的默认权限值[root@192~]#umask0022使用mask默认权限,查询到四位数字,第一位表示特殊权限(文章后讲),其中后三位是分别表示user、group、others的权限。但这个权限为什么是022呢?我
  • Linux学习笔记(centOS)—— 文件系统 通大侠 linux学习笔记
    目录一、Linux中的文件打开方式二、目录结构三、相关命令切换目录命令列出当前目录下的文件和目录命令一、Linux中的文件“万物皆文件。”图1.1所有文件打开方式图形化界面左上角的位置→计算机,打开以后就可以看到Linux全部的文件了,与Windows最主要的区别是没有盘符。有些目录图标有向外的箭头,比如bin目录。这表示它并不是直接放在根目录下的,本质是一个文件夹的链接,类似于Windows里的
  • Linux学习笔记3 用户与权限 Failur linux学习笔记
    1、root1.root用户与普通用户root用户拥有最大的权限,可以操作所有文件普通用户只有自己文件夹树下的所有文件的操作权限其他大部分文件只有只读执行权限例root用户可以在根目录下创建文件夹[failur@localhost/]$mkdirtestmkdir:无法创建目录"test":权限不够[failur@localhost/]$suroot密码:[root@localhost/]mkdi
  • linux学习笔记2-软件安装卸载等相关 scott_yu779
    http://blog.csdn.net/get_set/article/details/51276609
  • Linux学习笔记之二:U-Boot常用命令 manmanbab linux学习笔记
    参考链接:https://blog.csdn.net/qq_46079439/article/details/125474461U-Boot常用命令uboot简介uboot属于bootloader的一种,是用来引导启动内核的,它的最终目的就是:从flash中读出内核,放到内存中,启动内核。它刚开始被放到flash上,然后上电以后先执行它,它会完成硬件初始化,设置处理器模式,关闭看门狗,屏蔽中断,初
  • Linux学习笔记之一:tar命令:打包czvf,解压xzvf manmanbab linux运维服务器
    原文链接:https://blog.csdn.net/u010521062/article/details/113918972Linuxtar(英文全拼:tapearchive)命令主要用于文件的打包压缩及解压,命令最初的设计目的是为了将文件备份到磁带上(tapearchive),因而得名tar.1.常用tar命令实例①打包命令,tar-czvfxxx:说明:tar-czvffile.tar.gz
  • Linux学习笔记之 软链接和硬链接 kfepiza #LinuxCentOSUbuntulinux学习
    Linux学习笔记之软链接和硬链接前言硬链接用ln源文件硬链接硬链接特点可删除源文件硬链接不能跨文件系统(分区)硬链接不能链接目录,硬链接不会建立新的inode信息,也不会更改inode的总数。软链接用ln-s源软软链接的特点和Windows中的快捷方式完全一致对比例子例子1栗子2前言一般不用硬而用软,硬不能链接目录软连接和Windows快捷方式相同硬链接用ln源文件硬链接硬链接特点可删除源文件不
  • 【Linux学习笔记】Linux服务器:配置与管理samba服务器 Ein hübscher Kerl. Linux系统学习笔记服务器linux学习
    Linux系列文章目录一、【linux学习笔记】红帽Linux7.8系统在虚拟机上的安装二、【Linux学习笔记】Linux系统的基本操作三、【Linux学习笔记】管理Linux操作系统:用户管理四、【Linux学习笔记】管理Linux操作系统:磁盘管理五、【Linux学习笔记】管理Linux操作系统:软件安装六、【Linux学习笔记】管理Linux操作系统:简单的关闭防火墙目录Linux系列文章
  • Linux介绍 十一* Linuxlinux运维服务器
    文章目录前言一、概述前言Linux学习笔记。一、概述linux怎么读,不下10种linux是一个开源、免费的操作系统,其稳定性、安全性、处理多并发已经得到业界的认可,目前很多企业级的项目(c/c++/php/python/java/go)都会部署到Linux/unix系统上。常见的操作系统(windows、ios、Android、MacOS,Linux,Unix)Linux吉祥物Linux之父Li
  • linux学习笔记-day1 whatcanhumando
    1.目录结构/:表示根目录,所有其它一切目录均为其子目录/bin:binary的缩写,存放最常用的命令/boot:启动linux时的一些核心文件,/dev:device的缩写,存放linux的外部设备,一切皆文件/etc:系统管理所需的配置文件/home:非root用户的家目录,每个用户均有一个以其用户名为名称的目录/lib,/lib64:系统最基本的动态链接库,lib64为64位系统的动态链接库
  • Linux学习笔记 thekingofjiecao
    1.Linux目录结构/:linux系统的根目录/root:超级用户root的家目录/home:用户存放普通用户的家目录/tmp:公共的临时文件存放处/dev:挂载外部设备的目录/proc:内存的映射目录/var:这个目录中存放着在不断扩充着的东西,我们习惯将那些经常被修改的目录放在这个目录下。包括各种日志文件。/etc:系统管理的配置文件/boot:linux启动时的核心文件,包括一些镜像文件和
  • 嵌入式Linux学习笔记1——vi/vim编辑器区分大小写设置 苏东没有坡swag 嵌入式Linux学习笔记Ubuntuvimlinux嵌入式
    在vi编辑器中使用查找功能默认情况是区分大小写的,如果希望不区分大小写,则在一般模式下输入(双引号内的内容)“:setic”,返回默认状态(区分大小写)则在一般模式下输入(双引号内的内容)“:setnoic”。具体操作见下图:①当前模式为一般模式。②输入“:setic”,按下enter键确认,设置为不区分大小写。③输入“/a”查找编辑器中的相同元素,发现a和A都被查找到了,编辑器不区分大小写设置成
  • 小白Linux学习笔记-1.基础命令 唐先生的博客 Linux基础linux学习笔记
    Linux基础命令文章目录Linux基础命令命令简介命令的构成命令使用的原因命令提示符常用的命令lsls实验cdcd实验pwdpwd实验符号通配符*通配符?*?实验|管道|管道实验针对文件的的基本操作touchtouch实验touch拓展实验rmrm实验mkdirmkdir实验rmdirrmdir实验cpcp实验mvmv实验针对文件内容的基本操作文件的查看文件查看实验文件的修改echo实验文件的过
  • 小白Linux学习笔记-2.Linux用户和组 唐先生的博客 Linux基础linux学习笔记
    Linux用户和组文章目录Linux用户和组课堂作业用户和组的相关文件/etc/passwd/etc/shadow/etc/group/etc/gshadow/etc/default/useradd/etc/skel//etc/login.defs/etc/shells用户和组的相关命令新建用户和组groupadduseraddpasswd修改用户和组属性groupmodusermodchagec
  • 小白Linux学习笔记--SELINUX 唐先生的博客 Linux基础linux服务器运维
    SELINUX文章目录SELINUXSELinux作用配置文件相关指令操作限制的实现方法auditdselinux-policy-develSELinuxSecurityEnhancedLinux安全强化的Linux作用强制限制某些操作,属于权限的一种思考:到目前为止学过的linux中的权限?u\g\or\w\xssid\sgid\stidaclattr配置文件/etc/selinux/confi
  • Linux学习笔记(四):账户管理和磁盘管理 TanaStudy Linuxlinux
    账户管理和磁盘管理账号管理用户组管理磁盘管理账号管理简介Linux系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个唯一的用户名和各自的口令。用户在登
  • linux学习笔记之系统管理 老布丁~ linuxshelljava运维python
    1.进程:一个正在执行的程序进程管理的作用:1.查看服务器的健康状况2.查看系统中的所有进程3.杀死进程2.ps与pstree3.linux的查看top命令:4.杀死进程kill:https://www.runoob.com/linux/linux-comm-kill.htmlkillall:https://jingyan.baidu.com/article/f3ad7d0f50d1be09c33
  • Linux学习笔记 空壳_ linux学习笔记
    更多内容欢迎访问个人博客https://kongke7.github.io/Linux-CentOS一、初识1.网络连接的三种模式桥接模式虚拟机能和外部网络通信,但是容易造成IP冲突因为:桥接模式下,虚拟机生成与主机网络在同一网段下的IPNAT模式网络地址转换模式虚拟机能与外部通信不会引起IP冲突主机模式独立的系统2.Linux的目录结构Linux目录由/开始,向下发展分支/bin【常用】:(/u
  • linux学习笔记-day2 whatcanhumando
    课后练习远程连接linux服务器,需要linux服务器开启sshd服务,那么sshd服务默认监听哪个端口?这个端口是否可以自定义呢?如果可以,如何自定义呢?答:默认监听22号端口。可以自定义,可以修改/etc/ssh/sshd_config文件中的port选项。常用的远程连接linux的终端工具有哪些?答:SecureCRT,XShell手动配置ip需要修改哪个配置文件?更改默认的配置文件需要修改
  • Linux学习笔记15 - 多线程编程(二) KAMI STUDIO Linux学习笔记学习linux单片机嵌入式
    线程间同步与互斥由于线程共享进程的资源和地址空间,因此在对这些资源进行操作时,必须考虑到线程间资源访问的同步与互斥问题。互斥锁是用一种简单的加锁方法来控制对共享资源的原子操作。这个互斥锁只有两种状态,也就是上锁(lock)和解锁(unlock),可以把互斥锁看作某种意义上的全局变量。同一时刻只能有一个线程掌握某个互斥锁,拥有上锁状态的线程能够对共享资源进行操作(即某线程上锁即表示对共享的资源拥有操
  • Linux学习笔记(一) alpha18
    shellshell是一个程序,接受从键盘输入的命令,然后把命令传递给操作系统去执行。一些命令ls列出目录内容ls-l长格式输出file确定文件类型filefilenameless浏览文件内容Linux目录结构
  • 基本数据类型和引用类型的初始值 3213213333332132 java基础
    package com.array; /** * @Description 测试初始值 * @author FuJianyong * 2015-1-22上午10:31:53 */ public class ArrayTest { ArrayTest at; String str; byte bt; short s; int i; long
  • 摘抄笔记--《编写高质量代码:改善Java程序的151个建议》 白糖_ 高质量代码
            记得3年前刚到公司,同桌同事见我无事可做就借我看《编写高质量代码:改善Java程序的151个建议》这本书,当时看了几页没上心就没研究了。到上个月在公司偶然看到,于是乎又找来看看,我的天,真是非常多的干货,对于我这种静不下心的人真是帮助莫大呀。           看完整本书,也记了不少笔记
  • 【备忘】Django 常用命令及最佳实践 dongwei_6688 django
    注意:本文基于 Django 1.8.2 版本   生成数据库迁移脚本(python 脚本) python manage.py makemigrations polls  说明:polls 是你的应用名字,运行该命令时需要根据你的应用名字进行调整   查看该次迁移需要执行的 SQL 语句(只查看语句,并不应用到数据库上): python manage.p
  • 阶乘算法之一N! 末尾有多少个零 周凡杨 java算法阶乘面试效率
                                     &n
  • spring注入servlet g21121 Spring注入
    传统的配置方法是无法将bean或属性直接注入到servlet中的,配置代理servlet亦比较麻烦,这里其实有比较简单的方法,其实就是在servlet的init()方法中加入要注入的内容: ServletContext application = getServletContext(); WebApplicationContext wac = WebApplicationContextUtil
  • Jenkins 命令行操作说明文档 510888780 centos
    假设Jenkins的URL为http://22.11.140.38:9080/jenkins/ 基本的格式为 java 基本的格式为 java -jar jenkins-cli.jar [-s JENKINS_URL] command [options][args] 下面具体介绍各个命令的作用及基本使用方法 1. &nb
  • UnicodeBlock检测中文用法 布衣凌宇 UnicodeBlock
    /**  * 判断输入的是汉字  */ public static boolean isChinese(char c) {        Character.UnicodeBlock ub = Character.UnicodeBlock.of(c);    
  • java下实现调用oracle的存储过程和函数 aijuans javaorale
    1.创建表:STOCK_PRICES     2.插入测试数据:     3.建立一个返回游标:  PKG_PUB_UTILS   4.创建和存储过程:P_GET_PRICE     5.创建函数:   6.JAVA调用存储过程返回结果集 JDBCoracle10G_INVO
  • Velocity Toolbox antlove 模板toolboxvelocity
    velocity.VelocityUtil package velocity; import org.apache.velocity.Template; import org.apache.velocity.app.Velocity; import org.apache.velocity.app.VelocityEngine; import org.apache.velocity.c
  • JAVA正则表达式匹配基础 百合不是茶 java正则表达式的匹配
      正则表达式;提高程序的性能,简化代码,提高代码的可读性,简化对字符串的操作   正则表达式的用途; 字符串的匹配 字符串的分割 字符串的查找 字符串的替换       正则表达式的验证语法     [a] //[]表示这个字符只出现一次 ,[a] 表示a只出现一
  • 是否使用EL表达式的配置 bijian1013 jspweb.xmlELEasyTemplate
            今天在开发过程中发现一个细节问题,由于前端采用EasyTemplate模板方法实现数据展示,但老是不能正常显示出来。后来发现竟是EL将我的EasyTemplate的${...}解释执行了,导致我的模板不能正常展示后台数据。         网
  • 精通Oracle10编程SQL(1-3)PLSQL基础 bijian1013 oracle数据库plsql
    --只包含执行部分的PL/SQL块 --set serveroutput off begin dbms_output.put_line('Hello,everyone!'); end; select * from emp; --包含定义部分和执行部分的PL/SQL块 declare v_ename varchar2(5); begin select
  • 【Nginx三】Nginx作为反向代理服务器 bit1129 nginx
    Nginx一个常用的功能是作为代理服务器。代理服务器通常完成如下的功能:   接受客户端请求 将请求转发给被代理的服务器 从被代理的服务器获得响应结果 把响应结果返回给客户端 实例 本文把Nginx配置成一个简单的代理服务器 对于静态的html和图片,直接从Nginx获取 对于动态的页面,例如JSP或者Servlet,Nginx则将请求转发给Res
  • Plugin execution not covered by lifecycle configuration: org.apache.maven.plugin blackproof maven报错
    转:http://stackoverflow.com/questions/6352208/how-to-solve-plugin-execution-not-covered-by-lifecycle-configuration-for-sprin   maven报错: Plugin execution not covered by lifecycle configuration:
  • 发布docker程序到marathon ronin47 docker 发布应用
    1 发布docker程序到marathon 1.1 搭建私有docker registry 1.1.1 安装docker regisry docker pull docker-registry docker run -t -p 5000:5000 docker-registry 下载docker镜像并发布到私有registry docker pull consol/tomcat-8.0
  • java-57-用两个栈实现队列&&用两个队列实现一个栈 bylijinnan java
    import java.util.ArrayList; import java.util.List; import java.util.Stack; /* * Q 57 用两个栈实现队列 */ public class QueueImplementByTwoStacks { private Stack<Integer> stack1; pr
  • Nginx配置性能优化 cfyme nginx
    转载地址:http://blog.csdn.net/xifeijian/article/details/20956605   大多数的Nginx安装指南告诉你如下基础知识——通过apt-get安装,修改这里或那里的几行配置,好了,你已经有了一个Web服务器了。而且,在大多数情况下,一个常规安装的nginx对你的网站来说已经能很好地工作了。然而,如果你真的想挤压出Nginx的性能,你必
  • [JAVA图形图像]JAVA体系需要稳扎稳打,逐步推进图像图形处理技术 comsci java
         对图形图像进行精确处理,需要大量的数学工具,即使是从底层硬件模拟层开始设计,也离不开大量的数学工具包,因为我认为,JAVA语言体系在图形图像处理模块上面的研发工作,需要从开发一些基础的,类似实时数学函数构造器和解析器的软件包入手,而不是急于利用第三方代码工具来实现一个不严格的图形图像处理软件......   &nb
  • MonkeyRunner的使用 dai_lm androidMonkeyRunner
    要使用MonkeyRunner,就要学习使用Python,哎 先抄一段官方doc里的代码 作用是启动一个程序(应该是启动程序默认的Activity),然后按MENU键,并截屏 # Imports the monkeyrunner modules used by this program from com.android.monkeyrunner import MonkeyRun
  • Hadoop-- 海量文件的分布式计算处理方案 datamachine mapreducehadoop分布式计算
    csdn的一个关于hadoop的分布式处理方案,存档。 原帖:http://blog.csdn.net/calvinxiu/article/details/1506112。     Hadoop 是Google MapReduce的一个Java实现。MapReduce是一种简化的分布式编程模式,让程序自动分布到一个由普通机器组成的超大集群上并发执行。就如同ja
  • 以資料庫驗證登入 dcj3sjt126com yii
    以資料庫驗證登入 由於 Yii 內定的原始框架程式, 採用綁定在UserIdentity.php 的 demo 與 admin 帳號密碼:    public function authenticate()    {        $users=array( &nbs
  • github做webhooks:[2]php版本自动触发更新 dcj3sjt126com githubgitwebhooks
    上次已经说过了如何在github控制面板做查看url的返回信息了。这次就到了直接贴钩子代码的时候了。 工具/原料 git github 方法/步骤   在github的setting里面的webhooks里把我们的url地址填进去。   钩子更新的代码如下: error_reportin
  • Eos开发常用表达式 蕃薯耀 Eos开发Eos入门Eos开发常用表达式
    Eos开发常用表达式 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2014年8月18日 15:03:35 星期一     &
  • SpringSecurity3.X--SpEL 表达式 hanqunfeng SpringSecurity
    使用 Spring 表达式语言配置访问控制,要实现这一功能的直接方式是在<http>配置元素上添加 use-expressions 属性:   <http auto-config="true" use-expressions="true"> 这样就会在投票器中自动增加一个投票器:org.springframework
  • Redis vs Memcache IXHONG redis
    1. Redis中,并不是所有的数据都一直存储在内存中的,这是和Memcached相比一个最大的区别。 2. Redis不仅仅支持简单的k/v类型的数据,同时还提供list,set,hash等数据结构的存储。 3. Redis支持数据的备份,即master-slave模式的数据备份。 4. Redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用。 Red
  • Python - 装饰器使用过程中的误区解读 kvhur JavaScriptjqueryhtml5css
    大家都知道装饰器是一个很著名的设计模式,经常被用于AOP(面向切面编程)的场景,较为经典的有插入日志,性能测试,事务处理,Web权限校验, Cache等。 原文链接:http://www.gbtags.com/gb/share/5563.htm Python语言本身提供了装饰器语法(@),典型的装饰器实现如下:   @function_wrapper de
  • 架构师之mybatis-----update 带case when 针对多种情况更新 nannan408 case when
    1.前言.    如题. 2. 代码.   <update id="batchUpdate" parameterType="java.util.List"> <foreach collection="list" item="list" index=&
  • Algorithm算法视频教程 栏目记者 Algorithm算法
    课程:Algorithm算法视频教程 百度网盘下载地址: http://pan.baidu.com/s/1qWFjjQW 密码: 2mji 程序写的好不好,还得看算法屌不屌!Algorithm算法博大精深。 一、课程内容: 课时1、算法的基本概念 + Sequential search 课时2、Binary search 课时3、Hash table 课时4、Algor
  • C语言算法之冒泡排序 qiufeihu c算法
    任意输入10个数字由小到大进行排序。 代码: #include <stdio.h> int main() { int i,j,t,a[11]; /*定义变量及数组为基本类型*/ for(i = 1;i < 11;i++){ scanf("%d",&a[i]); /*从键盘中输入10个数*/ } for
  • JSP异常处理 wyzuomumu Webjsp
    1.在可能发生异常的网页中通过指令将HTTP请求转发给另一个专门处理异常的网页中: <%@ page errorPage="errors.jsp"%>   2.在处理异常的网页中做如下声明: errors.jsp: <%@ page isErrorPage="true"%>,这样设置完后就可以在网页中直接访问exc
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他