Linux openssh openssl

阿新 • • 發佈：2018-05-24

Linux openssh openss

筆記日期20180524

openssh

配置ssh基於密鑰的方式認證

服務器端配置文件

ssh服務的最佳實踐

OpenSSL

三個組件

PKI: Public Key Infrastructure

建立私有CA

證書申請及簽署步驟

創建私有CA詳細步驟

openssh

配置ssh基於密鑰的方式認證

1.生成密鑰對

ssh-keygen -P '' -f .ssh/own_rsakey

2.將公鑰復制至將要遠程連接的服務器特定目錄裏

使用上述命令會生成兩個文件一個私鑰一個公鑰，cat .ssh/own_rsakey.pub是公鑰文件

將裏邊的內容復制

遠程連接要使用密鑰認證的服務器打開其要遠程的用戶家目錄下~/.ssh/

vim authorized_keys

然後將密鑰粘貼至此處

更改該文件的權限為600如果不改可能無法實現基於密鑰誰

scp命令可以將遠程的服務器裏的文件復制至本機，也可以將本機的文件復制至服務器

scp user@host:/path/file /path/somewhere 遠程文件至本地

scp /path/somewhere user@host:/path/ 本地文件至遠程

服務器端配置文件

/etc/ssh/sshd_config

HostKey

Port 22

ListenAddress 0.0.0.0

Protocol 2

PermitRootLogin yes

ssh服務的最佳實踐

1、不要使用默認端口

2、禁止使用protocal version1

3、限制可登錄用戶

4、設定空閑會話超時時長

5、利用防火墻設置ssh訪問的策略

6、僅監聽特定的IP地址

7、基於口令認證時，使用強密碼策略

# tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

8、使用基於密鑰認證

9、禁止使用空密碼

10、禁止root用戶直接登錄

11、限制ssh的訪問頻度和並發在線數

12、做好日誌，經常分析

OpenSSL

三個組件

openssl 多用途的命令行工具

libcrypto 加密解密庫

libssl ssl協議的實現

PKI: Public Key Infrastructure

CA Certificate Authority

RA Registration Authority

CRL Certificate Revocationg List

證書的存取庫

建立私有CA

OpenCA

Openssl

證書申請及簽署步驟

1、生成申請請求

2、註冊機構RA核驗

3、CA簽署

4、獲取證書

創建私有CA

openssl的配置文件 /etc/pki/tls/openssl.conf

1. 創建openssl配置文件裏所需要的文件

touch /etc/pki/CA/index.txt

echo 01 > /etc/pki/CA/serial

echo 01 > /etc/pki/CA/crlnumber

2. CA自簽證書

生成私鑰

(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成證書

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 \

-out /etc/pki/CA/cacert.pem

-new 生成新證書簽署請求

-x509 專用於CA生成自簽證書

-key 生成請求時用到的私鑰文件

-days 證書的有效期限

-out /PATH/TO/SOMECERTIFILE 證書

3. 發證

a 用到證書的主機生成證書請求

(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

openssl req -new -key /etc/httpd/ssl/httpd/ssl/httpd.key -days 365 \

-out /etc/httpd/ssl/httpd.csr

b 把請求文件傳輸給CA

c CA簽署證書，並將證書還給請求者

openssl ca in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

查看證書中的信息

openssl x509 -in /PATH/FROM/cert_file -noout -text|-subject|-serial

4. 吊銷證書

a 客戶端獲取要吊銷證書的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

b CA

先根據客戶提交的serial與subject信息，對比檢驗是否與index.txt文件中的信息一致

吊銷證書

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

c 生成吊銷證書的編號(第一次吊銷一個證書時使用)

echo 01 > /etc/pki/CA/crlnumber

d 更新證書吊銷列表(名字和路徑自己指定)

openssl ca -gencrl -out /etc/pki/CA/crl/mysky.crl

查看crl文件

openssl crl -in /etc/pki/CA/crl/mysky.crl -noout -text

Linux openssh openssl

Linux openssh openssLinux openssh openssl筆記日期20180524目錄 openssh 配置ssh基於密鑰的方式認證服務器端配置文件 ssh服務的最佳實踐 OpenSSL 三個組件 PKI: Public Key Infrastructure 建立私有CA

linux-openssh

opensshOpenSSH 是一組用於安全地訪問遠程計算機的連接工具。它可以作為 rlogin、 rsh rcp 以及 telnet 的直接替代品使用。更進一步，其他任何 TCP/IP 連接都可以通過 SSH 安全地進行隧道/轉發。 OpenSSH 對所有的傳輸進行加密，從而有效地阻止了竊聽、連接

Linux----- openssh-server

linux---opensshd-server一、openssh-server1.功能：讓遠程主機可以通過網絡訪問sshd服務，開始一個安全shell（1）先創建兩個環境---開啟兩臺虛擬機（2）一臺作為服務端，將其主機名用一下命令更改（以便區分）hostnamectl set-hostname ssh-se

linux中openssl工具

openssl openssl命令行工具：眾多的子命令實現各種安全加密功能；標準命令： enc，dgst，ca，req，genrsa，rand，rsa，x509，passwd，... 對稱加密命令：enc 提供對稱加密算法，以進行數據或文件的手動加密； openssl enc -c

Linux系統openssl安裝步驟和安裝過程問題解決

安裝步驟，首先解壓安裝檔案openssl-1.0.0d.tar ，然後進入目錄執行config命令 ./config --prefix=/home/alipms/lib/openssl (64位作業系統：./config --prefix=/home/alipms/lib/

linux升級openssl方法

OpenSSL原始碼升級 2014年4月8日，XP宣佈正式停止服務的日子，也是Openssl爆出大漏洞的日子。 OpenSSL主要是負責在一些敏感的資料提交上面被廣泛使用，不乏大家經常訪問的一些網站：支付寶、微信、淘寶、網銀、社交、門戶等知名網站。官方上面推薦大家將OpenSSL升級到&nb

Linux下OpenSSL的安裝全過程(CentOS6.3 x86 + Openssl 1.1.0e)

寫在前面：安裝前先檢視下老的openssl版本（使用 openssl version -a 命令檢視來版本），和伺服器作業系統版本（uname -a），升級的原因是，老版的openssl已經曝出漏洞，建議升級最新版本 1、下載地址：http://www.opens

MAC(Linux)升級Openssl

系統上一般預設安裝的是0.9.8版本的Openssl，不能滿足需要。這時候就要重新安裝Openssl。上官網下載新版openssl：https://www.openssl.org/source/ 解壓：tar -zxvf openssl-1.0.2h.tar.gz 進入解壓目錄：cd openssl-

用Cywgin+OpenSSH+OpenSSL搭建SSH客戶端及伺服器

雖然Putty，以及Cmd視窗（使用ssh），可以進行SSH連線，但是當登入到Linux後很多時候，就會碰到中文字元顯示問題。而且在使用的時候，Cmd視窗的使用，總感覺不習慣。使用Cygwin+Op

linux openssh 升級

背景：低版本有漏洞需要升級【1】OpenSSH J-PAKE授權問題漏洞(CVE-2010-4478) 漏洞編號000A0462 漏洞型別守護程序類危險級別高危險影響平臺OpenSSH <

linux使用openssl對socket通訊加密

//普通的tcp伺服器端 #include <stdio.h> #include <sys/types.h> #include <sys/socket.h> #include <netinet/in.h> #

Linux+Apache2+openssl實現https驗證

首先安裝SSL，再編譯安裝APACHE，再配置證書即可1.下載apache和openssl網址：http://www.apache.org http://www.openssl.org2.解壓#tar zxvf httpd-2.0.54.tar.gz#tar zx

linux下openssl生成靜態庫

下載原始碼原始碼編譯解壓之後，進入原始碼目錄openssl-1.1.0f，執行如下命令。因為只需要編譯靜態庫，也沒有特殊要求，所以使用的編譯選項配置很簡單： ./config -fPIC no-shared make 其中，-fPIC：指示生成位置無關的

linux下openssl命令詳解

目錄： 1，openssl命令總覽 2，證書應用 3，RSA應用 4，SHA1 應用 5，base64應用 6，des3應用 1，OpenSSl命令總覽語法格式： openssl command [ command_opts ] [ command_args ] 常用co

linux openssh升級到7.9

ces alt node 設置 ext conf serve app img 一.先安裝telnet服務,以防卸載openssh後連接不到服務器 yum install -y telnet-server yum install -y xinetd systemctl en

Linux Centos7 OpenSSH版本低導致的安全漏洞升級OpenSSH和OpenSSl來修復漏洞

Linux Centos7 OpenSSH版本低導致的安全漏洞升級OpenSSH和OpenSSl來修復漏洞由於最近公司專案需要重新部署到伺服器，檢查出的安全漏洞，其中一項就是Openssh版本低過低所以導致的遠端執行漏洞,如下：

redhat7.2升級openssl、openssh

openssh openssl redhat7服務器打補丁 linux 博客 1.因公司服務器被綠盟掃描出openssl、openssh漏洞，所以需要升級openssl、openssh2.操作系統：Red Hat Enterprise Linux Server release 7.2 (M

linux雲自動化運維基礎知識9（openssh-server）

linux運維############################9.openssh-server################################1.openssh-server####功能：讓遠程主機可以通過網絡訪問sshd服務，開始一個安全shell####2.客戶端連接方式####s

RedHat Enterprise Linux 5.8 升級openssl

redhat enterprise linux 5.8 升級opensslRedHat Enterprise Linux 5.8升級openssl，遇到以下問題，做下標記：由於之前安裝RedHat Enterprise Linux 5.8 時候只安裝了服務器環境，沒有安裝開發環境導致服務器無法編譯代碼只好重新

LINUX下PHP編譯添加相應的動態擴展模塊so（不需要重新編譯PHP，以openssl.so為例）

down get 階段很多習慣 lin 模塊臨時操作本文轉自：原文鏈接 http://www.cnblogs.com/doseoer/p/4367536.html 網上我看到有很多相關的文章都是簡述這個問題的，但畢竟因為LINUX版本眾多，很多LIUNX命令或路

Linux openssh openssl

相關推薦