telnet,openssh以及openssl-创新互联

OpenSSH:

创新互联公司服务项目包括沐川网站建设、沐川网站制作、沐川网页制作以及沐川网络营销策划等。多年来,我们专注于互联网行业,利用自身积累的技术优势、行业经验、深度合作伙伴关系等,向广大中小型企业、政府机构等提供互联网行业的解决方案,沐川网站推广取得了明显的社会效益与经济效益。目前,我们服务的客户以成都为中心已经辐射到沐川省份的部分城市,未来相信会继续扩大服务区域并继续获得客户的支持与信任!

SSH是一种协议

        ssh:secure shell, protocol, 22/tcp, 安全的远程登录

        OpenSSH:ssh协议的开源实现;

                  dropbear:另一个开源实现;

先要安装yum install trlnet-server

        SSH协议版本

                  v1:基于CRC-32做MAC,不安全;man-in-middle

                  v2:双方主机协议选择安全的MAC方式

                           基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证;

                  两种方式的用户登录认证:

                           基于password

                           基于key

  OpenSSH:

       C/S

     C:ssh, scp, sftp

   Windows客户端:

  xshell,putty, securecrt,sshsecureshellclient

      S:sshd

    客户端组件:

    ssh,配置文件:/etc/ssh/ssh_config

      格式:ssh[user@]host [COMMAND]

           用户 主机

        Ssh292.168.1.101

         ssh [-l user] host [COMMAND]

       -pport:远程服务器监听的端口;

        -X:支持x11转发;

        -Y:支持信任的x11转发;

        Host PATTERN

     PARAMETERVALUE

   基于密钥的认证:

   (1)在客户端生成密钥对儿

      ssh-t rsa [-P ''] [-f "~/.ssh/id_rsa"]

ssh-keygen –t rsa –P ‘’ –f ~/.ssh/id_rsa     -P这里是端口

    (2)把公钥传输至远程服务器对应用户的家目录

     ssh-copy-id[-i [identity_file]][user@]machinessh-copy-id –i.ssh/id_rsa.pubroot@192.168.1.101

         (3)测试

                    Vim .ssh/authorized_keys这里可以写公钥的那些密码

                           scp命令:

        scp[options] SRC... DEST/知名目标文件

            存在两种情形:

                                              PULL:scp[options[user@]host:/PATH/FROM/SOMEFILE /PATH/TO/SOMEWHERE

                    PUSH:scp[options]/PATH/FROM/SOMEFIL[user@]host:/PATH/TO/SOMEWHERE

              常用选项:

             -r:递归复制;

            -p:保持原文件的属性信息;

            -q:静默模式

            -PPORT: 指明remote host的监听的端口;

                           sftp命令:

                                    sftp[user@]host

                                    sftp>help

                  服务器端:

                           sshd,配置文件: /etc/ssh/sshd_config

                           常用参数:

                                    Port22022

                                    ListenAddressip监听内网地址

                                    PermitRootLoginyes图形程序xclock

                                    限制可登录用户的办法:

                                              AllowUsersuser1 user2 user3

                                              AllowGroups

        ssh服务的最佳实践:

                  1、不要使用默认端口;

                  2、禁止使用protocolversion 1;

                  3、限制可登录用户;

                  4、设定空闲会话超时时长;

                  5、利用防火墙设置ssh访问策略;

                  6、仅监听特定的IP地址;

                  7、基于口令认证时,使用强密码策略;

                           #tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

                  8、使用基于密钥的认证;

                  9、禁止使用空密码;

                  10、禁止root用户直接登录;

                  11、限制ssh的访问频度和并发在线数;

                  12、做好日志,经常分析;

        ssh协议的另一个实现:dropbear

                  (1)dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

                           dropbearkey-t rsa -f /etc/dropbear/dropbear_rsa_host_ke ey

                           dropbear-p [ip:]port -F –E

编译安装的方法

./configrel

Make PROGRAMS=’ dropbear scp dropbearkeydbclient’ inatall

Mkdir /etc/dropbear

dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key –s 2048

dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key

OpenSSL:

        三个组件:

                  openssl:多用途的命令行工具;

                  libcrypto:加密解密库;

                  libssl:ssl协议的实现;

        PKI:Public KeyInfrastructure

                  CA发证机构

                  RA注册机构

                  CRL

                  证书存取库

        建立私有CA:

                  OpenCA

                  openssl

        证书申请及签署步骤:

                  1、生成申请请求;

                  2、RA核验;

                  3、CA签署;

                  4、获取证书;

        创建私有CA:

                  openssl的配置文件:/etc/pki/tls/openssl.cnf

                    /etc/dir/certs 库

                    (1)    创建所需要的文件

                    (2)    Cd /etc/pki/CA

                          # touch index.txt

                           #echo 01 > serial

                           #

    (2)CA自签证书

  #(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

 #openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -t days7300out/etc/pki/CA/cacert.pem

      -new:生成新证书签署请求;

      -x509:专用于CA生成自签证书;

     -key:生成请求时用到的私钥文件;

    -daysn:证书的有效期限;

      -out/PATH/TO/SOMECERTFILE: 证书的保存路径;

CN中国 Beijing 北京 Beijing 北京 magedu ops运维 服务器解析的名字ca.magedu.com,caadmin@magedu.com

   (3)发证

   (a)用到证书的主机生成证书请求;

  #(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

  #openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out/etc/httpd/ssl/httpd.csr

Rpm –q httpd

        Cd /etc/httpd

            Mkdirssl

            Cd ssl/

            Openssl req –key httpd.key 同上

    (b)把请求文件传输给CA;

    (c)CA签署证书,并将证书发还给请求者;

  #openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

      查看证书中的信息:

   opensslx509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

  (4)吊销证书

   (a)客户端获取要吊销的证书的serial

  #openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

  (b)CA

 先根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致;

   吊销证书:

  #openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

 (c)生成吊销证书的编号(第一次吊销一个证书)

  #echo 01 > /etc/pki/CA/crlnumber

  (d)更新证书吊销

 #openssl ca -gencrl -out thisca.crl

         查看crl文件:

   #openssl crl -in /PATH/FROM/CRL_FILE.crl -noout –text

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享文章:telnet,openssh以及openssl-创新互联
本文来源:http://myzitong.com/article/dcsjss.html