9月20日 OpenSSL,加密解密
SSL:Secure Socket Layer
特点:
保密性:数据保密性,隐私性
完整性:数据完整性,系统完整性
可用性:加密能够解密。
OSI:x.800定义了安全攻击机制
现代互联网安全服务的基础安全框架叫做PKI机制:Public Key Infrastructure
PKI:
签证机构:CA
注册机构:RA
证书吊销列表:CRL
证书存取库:
DSS:Digital Siganature Standard
加密协议种类
对称加密:加密解密用同一个密钥:3des,aes
公钥加密:密钥成对出现:公钥-私钥,加密速度慢,常用于数字签名和密钥交换。
RSA,DSA(DSS)
单向加密:主要用于提取数据指纹或特征码。
MD5,sha1
密钥交换:DH:Deffie-Hellman算法
SSL是一种库,是TCP/IP协议层中的半层,基于TCP实现的,必须要有虚拟电路支持。
请求服务器中的数字证书:其中是使用者的公钥
CA:证书签证机构
数字证书格式:
版本号version:
序列号serial number:CA用于唯一标识此证书
签名算法标识:
发行者名称:CA自己名称
有效期:起止日期
证书主体名称:证书拥有者的名称:
证书主体公钥信息:证书拥有者自己的公钥
发行商的唯一标识:
证书主体的唯一标识:
扩展信息:
签名:CA对此证书的数字签名
证书的用途:
用户证书:用户之间通信用的
主机证书 (httpd):服务器的进程间通信用的
Open SSL 的组成部分:
libcrypto:加密解密库文件
libssl:ssl协议实现
openssl:多用途命令行工具,每种功能都使用专用的子命令来实现
openssl:子命令分类:
标准命令
消息摘要命令
加密,解密相关命令
加密 openssl enc -e加密 -a以文本模式输出 -salt:加些随机数进来 -in加密哪个文件 -out放在哪 -des3密码
解密 openssl enc �Cd
加密前
加密中
加密后
单向加密 openssl dgst �CCIPHER file
生成用户密码:openssl passwd �C1 �Csalt 8bit 随机数
不知为啥生出了一堆
生成随机数:openssl rand �Chex|-base64 NUM
公钥加密
数字签名:RSA/DSA
密钥交换DH:
操作过程:私钥能提取出公钥
openssl genrsa �Cout 文件 位数
(umask 077;openssl genrsa �Cout 文件 位数)在括号中运行的表示在子shell中运行
私钥中提取公钥
openssl rsa �Cin 私钥文件 �Cpubout
公钥加密为了完成密钥交换
私钥机密为了完成身份验证
随机数生成器:
random,urandom
熵池:保存硬件中断产生的随机数
/dev/random:从熵池中取随机数,熵池里的随机数耗尽,取随机数的进程会被阻塞
/dev/urandom:从熵池中取随机数,熵池里的随机数耗尽,会用伪随机数生成器替代,不安全。
构建私有CA
1、生成私钥;
2、生成自签署证书;
查看CA_Default
dir:定义CA工作目录
certs:$dir引用dir的值:为客户端发放的证书存取库
crl_dir:吊销文件
database:数据库
new_certs_dir:刚生成的证书
certificate:CA自己的证书
serial:会不断加一
crlnumber:吊销编号
private_key:存放私钥的
步骤:
自己生成
1、在CA工作目录里生成自己的私钥, 私钥的位置是private_key
2、生成自签证书:
openssl req �Cnew �Cx509 �Ckey /etc/pki/CA/private/cakey.pem �Cout /etc/pki/CA/cacert.pem �Cdays
-new 生成新证书的签署请求
-key私钥文件路径,提取公钥用的
-days N:证书有效时长,单位是天
-out输出文件保存位置:
-x509:直接输出自签署的证书文件,通常只有构建CA才这么用
3、提供辅助文件
touch /etc/pki/CA/index.txt
echo 01> serial
1
2、3
给节点发证书:
1、节点申请
2、CA签发证书:openssl ca �Cin file �Cout file �Cdays N
3、把签署好的证书发还给请求者
建立文件夹
生成证书
发送请求
之后就过不去了,不知为什么
OpenSSH:
CS架构协议:
Server需要sshd: /stc/ssh/sshd_config
Client需要ssh,xshell,putty /stc/ssh/ssh_config
scp:安全跨主机复制工具,基于ssh实现
sftp
sshsecure shell,用来取代telnet(23/tcp)
telnet是有xinetd这个超级守护进程来管理的:
打开telnet,他是明文的,容易被盗
chkconfig telnet on
service xinetd restart
ss �Ctnl 查找23tcp端口
iptables -F清空防火墙规则
ssh protocol
v1不安全 v2安全
两种方式认证:
基于口令认证:
基于密钥认证:基于DH
在客户端生成一对密钥,私钥自己留着,公钥通过私密方式保存到远程服务器某用户的家目录专用于ssh通信的文件中
命令行用法:
ssh [选项] �Cl user host,不指定用户名就以自己当前用户名代入
ssh [选项] user@host
也可以通过ssh一次执行一条命令然后返回
私钥登录:
1、创建私钥
ssh [选项] [user]@[local] -p指明端口号
2、复制到服务器上
scp:远程复制文件:
push:scp �Cr(目录递归) �Cp(权限)自己的文件 user@host:/path -P指明端口号
pull:scp user@host:/path 位置
服务器端配置sshd:/etc/ssh/sshd_config
1、port默认是22,尽量不使用默认,大家都爱用22022
2、protocol 2,1不安全
3、限制可登录用户:禁用root登入,
PermitRootLogin,默认是yes
AllowUsers user1 user2,白名单
AllowGroups grp1
DenyUsers user1黑名单
4、仅监听需要监听的ip地址:
ListenAddress
5、强密码策略:
建议随机数
6、禁止使用空密码登入:
7、限制登入频度:默认是6次