Linux openssh openssl

笔记日期20180524

目录

openssh

配置ssh基于密钥的方式认证

服务器端配置文件

ssh服务的最佳实践

OpenSSL

三个组件

PKI: Public Key Infrastructure

建立私有CA

证书申请及签署步骤

创建私有CA详细步骤

openssh

配置ssh基于密钥的方式认证

1.生成密钥对

ssh-keygen -P '' -f .ssh/own_rsakey

2.将公钥复制至将要远程连接的服务器特定目录里

使用上述命令会生成两个文件一个私钥一个公钥,cat .ssh/own_rsakey.pub是公钥文件

将里边的内容复制

远程连接要使用密钥认证的服务器打开其要远程的用户家目录下~/.ssh/

vim authorized_keys

然后将密钥粘贴至此处

更改该文件的权限为600如果不改可能无法实现基于密钥谁

scp命令可以将远程的服务器里的文件复制至本机,也可以将本机的文件复制至服务器

scp [email protected]:/path/file /path/somewhere 远程文件至本地

scp /path/somewhere [email protected]:/path/    本地文件至远程

服务器端配置文件

/etc/ssh/sshd_config

HostKey

Port 22

ListenAddress 0.0.0.0

Protocol 2

PermitRootLogin yes

ssh服务的最佳实践

1、不要使用默认端口

2、禁止使用protocal version1

3、限制可登录用户

4、设定空闲会话超时时长

5、利用防火墙设置ssh访问的策略

6、仅监听特定的IP地址

7、基于口令认证时,使用强密码策略

# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基于密钥认证

9、禁止使用空密码

10、禁止root用户直接登录

11、限制ssh的访问频度和并发在线数

12、做好日志,经常分析

OpenSSL

三个组件

openssl 多用途的命令行工具

libcrypto 加密解密库

libssl ssl协议的实现

PKI: Public Key Infrastructure

CA Certificate Authority

RA Registration Authority

CRL Certificate Revocationg List

证书的存取库

建立私有CA

OpenCA

Openssl

证书申请及签署步骤

1、生成申请请求

2、注册机构RA核验

3、CA签署

4、获取证书

创建私有CA

openssl的配置文件 /etc/pki/tls/openssl.conf

1. 创建openssl配置文件里所需要的文件

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

echo 01 > /etc/pki/CA/crlnumber

2. CA自签证书

生成私钥

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 \

-out /etc/pki/CA/cacert.pem

-new 生成新证书签署请求

-x509 专用于CA生成自签证书

-key 生成请求时用到的私钥文件

-days 证书的有效期限

-out /PATH/TO/SOMECERTIFILE 证书

3. 发证

a 用到证书的主机生成证书请求

(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

openssl req -new -key /etc/httpd/ssl/httpd/ssl/httpd.key -days 365 \

-out /etc/httpd/ssl/httpd.csr

b 把请求文件传输给CA

c CA签署证书,并将证书还给请求者

openssl ca in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

查看证书中的信息

openssl x509 -in /PATH/FROM/cert_file -noout -text|-subject|-serial

4. 吊销证书

a 客户端获取要吊销证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

b CA

先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致

吊销证书

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

c 生成吊销证书的编号(第一次吊销一个证书时使用)

echo 01 > /etc/pki/CA/crlnumber

d 更新证书吊销列表(名字和路径自己指定)

openssl ca -gencrl -out /etc/pki/CA/crl/mysky.crl

查看crl文件

openssl crl -in /etc/pki/CA/crl/mysky.crl -noout -text

原文地址:http://blog.51cto.com/winthcloud/2119779

时间: 2024-11-09 09:48:30

Linux openssh openssl的相关文章

linux升级OpenSSL

1.当前系统版本 [plain] view plain copy  -sh-4.1$ cat /etc/redhat-release CentOS release 6.5 (Final) -sh-4.1$ uname -m x86_64 -sh-4.1$ uname -r 2.6.32-431.17.1.el6.x86_64 2.SSL版本信息 [plain] view plain copy  # openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 #

Linux+Apache+openssl

实现https验证apache2.0 https 首先安装SSL,再编译安装APACHE,再配置证书即可 1.下载apache和openssl 网址: http://www.apache.org http://www.openssl.org 2.解压 #tar zxvf httpd-2.0.54.tar.gz #tar zxvf openssl-0.9.7g.tar.gz 3.编译安装openssl, 这个软件主要是用来生成证书: #cd openssl-0.9.7g #./config #ma

Linux OpenSSH后门的添加与防范

引言:相对于Windows,Linux操作系统的密码较难获取.不过很多Linux服务器配置了OpenSSH服务,在获取root权限的情况下,可以通过修改或者更新OpenSSH代码等方法,截取并保存其SSH登录账号和密码,甚至可以留下一个隐形的后门,达到长期控制Linux服务器的目的. 很多入侵者在攻破一个Linux系统后,都会在系统中留下后门,用OpenSSH留后门是入侵者的惯用方式之一.OpenSSH后门比较难检测,本文选自<黑客攻防:实战加密与解密>将与您一起探讨如何添加及防范OpenSS

Openssh Openssl升级

安装软件以及原脚本.已经上传在附件里了.http://down.51cto.com/data/2228703 因为公司服务器及网络环境要进行安全审计.公司请绿盟的安全人员来对服务器做了一下安全监测,发现服务器上的openssl和openssh版本太老,存在安全漏洞.所以要对服务器的openssl和openssh进行升级到较新版本:openssh-7.12 openssl-1.0.1p. 升级一定要注意做好老版本的备份,建议不要直接删除老版本的配置以及目录.之前看网上的资料好多直接删除了老版本的目

MAC(Linux)升级Openssl

系统上一般默认安装的是0.9.8版本的Openssl,不能满足需要.这时候就要重新安装Openssl. 上官网下载新版openssl:https://www.openssl.org/source/ 解压:tar -zxvf openssl-1.0.2h.tar.gz 进入解压目录:cd openssl-1.0.2h 编译:./config 该命令下达后会停留五秒提示64位的编译方法 最终我用这条语句编译:./Configure darwin64-x86_64-cc --prefix=/usr/l

linux中openssl生成证书和自签证书

1.首先要生成服务器端的私钥(key文件): 命令: openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令 2. 对服务端生成CSR和key 命令: openssl req -new -key server.key -out server.csr -config /etc/pki

14 Linux之openssl工具创建私有CA

证书的创建依赖加密算法,请看http://yunweigou.blog.51cto.com/6299641/1637108 前言,随着网络的发展,由于使用http协议通信的双方数据是明码格式的,故容易被其他网络主机盗取或偷换数据,无法对数据的安全提供保障.为保证数据的保密性及完整性,SSL问世 SSL:Secure Sockets Layer 安全套接字层 可理解为传输层和应用层之间的半层,对数据进行加密和解密 是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保

谢烟客---------Linux之OpenSSL应用

进程间通信 socket通信 客户端-->请求--> 路由转发 --> 服务端,取出资源 --> 封装为可响应给客户端的请求报文从接收请求端口发出 NIST制定的安全标准:保密性.完整性.可用性 SOCKET通信模型中面临的风险:窃听.伪装.重放.消息篡改.拒绝服务 保证安全的手段(安全机制):加密.身份认证.访问控制.完整性校验.路由控制.公证 提供安全机制的服务:认证.访问控制.保密性.完整性.不可否认性 保证服务的安全(算法和协议):对称.非对称.单向.密钥交换 加密解密的基

Linux基于OpenSSL实现私有CA构建

前言 随着互联网的迅猛发展,网络通信已经成为传递信息的主要途径.而通信时的数据传输大部分却是明文传输的,在网络这个不安全的环境下,如果没有一套数据加密机制,就会导致敏感信息和重要数据泄露,引起不可估量的损失.而OpenSSL正好弥补了这一缺憾,那什么是OpenSSL呢?OpenSSL是一套强大的具有加密功能的组件,它包含libcrypto(公共加密库).libssl(SSL协议的实现)和openssl(多功能命令工具),因其开源思想,现已广泛应用于数据通信加密领域.OpenSSL还可在局域网内构