第十四周 證書和ssh服務

2021-10-22 03:45:06 字數 4658 閱讀 4228

1)建立ca相關目錄和檔案

[root@centos8 ~]#mkdir -pv /etc/pki/ca/

[root@centos8 ~]#tree /etc/pki/ca/

#index.txt和serial檔案在頒發證書時需要使用,如果不存在,會出現錯誤提示

[root@centos8 ~]#touch /etc/pki/ca/index.txt

[root@centos8 ~]#echo 01 > /etc/pki/ca/serial     #預設開始序列號,16進製制.

2) 建立ca的私鑰

[root@centos8 ~]#cd /etc/pki/ca/

[root@centos8 ca]#(umask 066; openssl genrsa -out private/cakey.pem 2048)

3) 給ca頒發自簽名證書

[root@centos8 ~]#openssl req -new -x509 -key /etc/pki/ca/private/cakey.pem -days 3650 -out     /etc/pki/ca/cacert.pem

#在match模式下,國家,省,公司名稱三項必須和ca一致

country name (2 letter code) [xx]:cn

state or province name (full name) :

locality name (eg, city) [default city]:

organization name (eg, company) [default company ltd]:

organizational unit name (eg, section) :

common name (eg, your name or your server's hostname) :

email address :

#檢視證書資訊

[root@centos8 ~]#cat /etc/pki/ca/cacert.pem

[root@centos8 ~]#openssl x509 -in /etc/pki/ca/cacert.pem -noout -text

[root@centos8 ~]#sz /etc/pki/ca/cacert.pem

#將檔案cacert.pem傳到windows上,修改檔名為cacert.pem.crt,雙擊可以看到下面顯示

4)使用者生成私鑰和證書申請

4.1)生成私鑰

4.2)生成證書申請檔案

預設有三項內容必須和ca一致:國家,省份,組織,如果不同,會出現錯誤提示

5) ca頒發證書

sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

[root@centos8 ~]#tree /etc/pki/ca

6)檢視證書資訊

7)將證書相關檔案傳送到使用者端使用

ssh命令:是ssh客戶端,允許實現對遠端系統經驗證地加密安全訪問

ssh命令格式:

ssh [user@]host [command]

ssh [-l user] host [command]

常見選項:

-pport

:遠端伺服器監聽的埠

-b 指定連線的源

ip

-v 除錯模式

-c 壓縮方式

-x 支援x11

**

-t 強制偽

tty分配,如:

ssh

-tremoteserver1

ssh

-tremoteserver2   

sshremoteserver3 ; 1-->2-->3,最終目的鏈結3 -o

option   

如:-o

stricthostkeychecking

=no -i

指定私鑰檔案路徑,實現基於

key驗證,預設使用檔案:

~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519

,~/.ssh/id_rsa等

範例1:遠端連線伺服器

[root@centos8 ~]

#ssh -t 10.0.0.81 ssh -t 10.0.0.82 ssh 10.0.0.83

範例2:遠端執行命令

[root@centos6 ~]

#ssh 10.0.0.82 "sed -i.bak '/stricthostkeychecking/s/.*/stricthostkeychecking no/' /etc/ssh/ssh_config"

範例3:在遠端主機執行本地shell指令碼

指令碼在客服端

[root@centos8 ~]

#ssh 10.0.0.83 /bin/bash < test.sh

指令碼在服務端

[root@centos8 ~]

#ssh 10.0.0.83 /data/test.sh

伺服器端:sshd

伺服器端的配置檔案: /etc/ssh/sshd_config

伺服器端的配置檔案幫助:man 5 sshd_config

常用引數:

port

22                                         

#鏈結外網的服務,埠要一定要修改

listenaddress ip

logingracetime 2m

permitrootlogin

yes#

預設ubuntu

不允許root

遠端ssh

登入

strictmodes

yes#

檢查.ssh/

檔案的所有者,許可權等

maxauthtries   6

maxsessions  10#

同乙個連線最大會話

pubkeyauthentication

yes#

基於key

驗證

permitemptypasswords no          

#空密碼連線

passwordauthentication

yes#

基於使用者名稱和密碼連線

gatewayports no

clientaliveinterval 10#

單位:秒

clientalivecountmax 3#

預設3

usedns

yes#

提高速度可改為

no

gssapiauthentication

yes#

提高速度可改為

no

maxstartups                              

#未認證連線最大值,預設值

10

banner /path/file #

以下可以限制可登入使用者的辦法:

allowusers user1 user2 user3

denyusers

allowgroups

範例1:設定ssh 空閒60s 自動登出

vim /etc/ssh/sshd_config

clientaliveinterval     

60

clientalivecountmax   0

service sshd

restart #

注意:新開乙個連線才有效

範例2:解決ssh登入緩慢的問題

vim/etc/ssh/sshd_config

usedns no

gssapiauthentication no

systemctl

restart

sshd

範例3:在 ubuntu 上啟用root 遠端ssh登入

#修改sshd服務配置檔案

vim/etc/ssh/sshd_config

#permitrootlogin prohibit-password 注釋掉此行

permitrootlogin

yes修改為下面形式

systemctl

restart

sshd

ssh服務的最佳實踐

第十四周小結

這一周,我們分到了新的學習場地 609 我們組全員搬來了這裡。609在院裡被叫做 眾創空間 這裡不僅有著更好的學習條件,還存放著我們院裡的榮譽,一張一張的獎狀,還有精美的證書,讓我對信工院有了新的認識。同時,在日常生活中我也有一些自己的心得。一 執行力 結果很重要 之前 給我們在小組的所有成員開了乙...

第十四周總結

一.學習 今天很開心,因為我成功的做出了我人生的第乙個比較完整全面的頁面,雖然用的都是一些很簡單的 但那也是我花了乙個晚上做出來的,是我用這段時間所學的前端知識做出來的。雖然當時已經很晚了,但我絲毫感覺不到睡意,心中只有乙個目標,那就是今晚一定要完成它。或許對別人來說這不算什麼,但那張頁面被注入的精...

第十四周總結

又是新的一周,新的一周是新的起航,是夢的開始,每天的生活不需要過的多麼驚濤駭浪,只要我們是平平淡淡 腳踏實地 按照自己的追求走過的那就會有價值,就值得回憶。這周依舊平平淡淡,每天還是遵循自己的計畫一步步走過來的,最震撼的一件事就是我們搬到了609學習,可能是新環境的原因,這裡的學習氛圍相當好,條件也...