1)建立ca相關目錄和檔案
[root@centos8 ~]#mkdir -pv /etc/pki/ca/
[root@centos8 ~]#tree /etc/pki/ca/
#index.txt和serial檔案在頒發證書時需要使用,如果不存在,會出現錯誤提示
[root@centos8 ~]#touch /etc/pki/ca/index.txt
[root@centos8 ~]#echo 01 > /etc/pki/ca/serial #預設開始序列號,16進製制.
2) 建立ca的私鑰
[root@centos8 ~]#cd /etc/pki/ca/
[root@centos8 ca]#(umask 066; openssl genrsa -out private/cakey.pem 2048)
3) 給ca頒發自簽名證書
[root@centos8 ~]#openssl req -new -x509 -key /etc/pki/ca/private/cakey.pem -days 3650 -out /etc/pki/ca/cacert.pem
#在match模式下,國家,省,公司名稱三項必須和ca一致
country name (2 letter code) [xx]:cn
state or province name (full name) :
locality name (eg, city) [default city]:
organization name (eg, company) [default company ltd]:
organizational unit name (eg, section) :
common name (eg, your name or your server's hostname) :
email address :
#檢視證書資訊
[root@centos8 ~]#cat /etc/pki/ca/cacert.pem
[root@centos8 ~]#openssl x509 -in /etc/pki/ca/cacert.pem -noout -text
[root@centos8 ~]#sz /etc/pki/ca/cacert.pem
#將檔案cacert.pem傳到windows上,修改檔名為cacert.pem.crt,雙擊可以看到下面顯示
4)使用者生成私鑰和證書申請
4.1)生成私鑰
4.2)生成證書申請檔案
預設有三項內容必須和ca一致:國家,省份,組織,如果不同,會出現錯誤提示
5) ca頒發證書
sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
[root@centos8 ~]#tree /etc/pki/ca
6)檢視證書資訊
7)將證書相關檔案傳送到使用者端使用
ssh命令:是ssh客戶端,允許實現對遠端系統經驗證地加密安全訪問
ssh命令格式:
ssh [user@]host [command]
ssh [-l user] host [command]
常見選項:
-pport
:遠端伺服器監聽的埠
-b 指定連線的源
ip
-v 除錯模式
-c 壓縮方式
-x 支援x11
**
-t 強制偽
tty分配,如:
ssh
-tremoteserver1
ssh
-tremoteserver2
sshremoteserver3 ; 1-->2-->3,最終目的鏈結3 -o
option
如:-o
stricthostkeychecking
=no -i
指定私鑰檔案路徑,實現基於
key驗證,預設使用檔案:
~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519
,~/.ssh/id_rsa等
範例1:遠端連線伺服器
[root@centos8 ~]
#ssh -t 10.0.0.81 ssh -t 10.0.0.82 ssh 10.0.0.83
範例2:遠端執行命令
[root@centos6 ~]
#ssh 10.0.0.82 "sed -i.bak '/stricthostkeychecking/s/.*/stricthostkeychecking no/' /etc/ssh/ssh_config"
範例3:在遠端主機執行本地shell指令碼
指令碼在客服端
[root@centos8 ~]
#ssh 10.0.0.83 /bin/bash < test.sh
指令碼在服務端
[root@centos8 ~]
#ssh 10.0.0.83 /data/test.sh
伺服器端:sshd
伺服器端的配置檔案: /etc/ssh/sshd_config
伺服器端的配置檔案幫助:man 5 sshd_config
常用引數:
port
22
#鏈結外網的服務,埠要一定要修改
listenaddress ip
logingracetime 2m
permitrootlogin
yes#
預設ubuntu
不允許root
遠端ssh
登入
strictmodes
yes#
檢查.ssh/
檔案的所有者,許可權等
maxauthtries 6
maxsessions 10#
同乙個連線最大會話
pubkeyauthentication
yes#
基於key
驗證
permitemptypasswords no
#空密碼連線
passwordauthentication
yes#
基於使用者名稱和密碼連線
gatewayports no
clientaliveinterval 10#
單位:秒
clientalivecountmax 3#
預設3
usedns
yes#
提高速度可改為
no
gssapiauthentication
yes#
提高速度可改為
no
maxstartups
#未認證連線最大值,預設值
10
banner /path/file #
以下可以限制可登入使用者的辦法:
allowusers user1 user2 user3
denyusers
allowgroups
範例1:設定ssh 空閒60s 自動登出
vim /etc/ssh/sshd_config
clientaliveinterval
60
clientalivecountmax 0
service sshd
restart #
注意:新開乙個連線才有效
範例2:解決ssh登入緩慢的問題
vim/etc/ssh/sshd_config
usedns no
gssapiauthentication no
systemctl
restart
sshd
範例3:在 ubuntu 上啟用root 遠端ssh登入
#修改sshd服務配置檔案
vim/etc/ssh/sshd_config
#permitrootlogin prohibit-password 注釋掉此行
permitrootlogin
yes修改為下面形式
systemctl
restart
sshd
ssh服務的最佳實踐
第十四周小結
這一周,我們分到了新的學習場地 609 我們組全員搬來了這裡。609在院裡被叫做 眾創空間 這裡不僅有著更好的學習條件,還存放著我們院裡的榮譽,一張一張的獎狀,還有精美的證書,讓我對信工院有了新的認識。同時,在日常生活中我也有一些自己的心得。一 執行力 結果很重要 之前 給我們在小組的所有成員開了乙...
第十四周總結
一.學習 今天很開心,因為我成功的做出了我人生的第乙個比較完整全面的頁面,雖然用的都是一些很簡單的 但那也是我花了乙個晚上做出來的,是我用這段時間所學的前端知識做出來的。雖然當時已經很晚了,但我絲毫感覺不到睡意,心中只有乙個目標,那就是今晚一定要完成它。或許對別人來說這不算什麼,但那張頁面被注入的精...
第十四周總結
又是新的一周,新的一周是新的起航,是夢的開始,每天的生活不需要過的多麼驚濤駭浪,只要我們是平平淡淡 腳踏實地 按照自己的追求走過的那就會有價值,就值得回憶。這周依舊平平淡淡,每天還是遵循自己的計畫一步步走過來的,最震撼的一件事就是我們搬到了609學習,可能是新環境的原因,這裡的學習氛圍相當好,條件也...