linux加密
单向加密:有特征码,保存数据完整性,数据+体征码
输入一样,输出一样
雪崩效应,一点改变,结果巨大改变
定长输出
不可逆
单向加密方式有:md4,md5,sha1,sha192,sha256,sha384
公钥加密特点:身份验证,数据加密,密钥交换
公钥加密方式:rsa,dsa
ssl:给客户端发过来的请求加密
openssl:是ssl的开源实现
提供openssl:多用途命令工具
speed:加密速度,如openssl speed des 显示以des方式加密要多长时间
enc(对称):如openssl enc -des3 -salt -a -in inittab -out inittab.des3,对inittab文件(-in)进行对称加密(enc),以des3加密方式(-des3),进行以64位机制(-a)处理加密保存(-out)到inittab.dec3文件
openssl enc -des3 -d -salt -a -in inittab.des3 -out inittab 对inittab.dec3文件(-in)进行对称(enc)解密(-d),以des3加密方式(-des3),进行以64位机制(-a)处理加密保存(-out)到inittab.dec3文件
dgst:得出校验码如:openssl dgst -sha1 inittab和sha1sum inittab的结果一样
openssl dgst -md5 inittab和md5sum inittab的结果一样
passwd -1:给用户密码加密如:openssl passwd -1 以md5(-1)方式加密
rand:随机生成加密如openssl rand -base64 56 把56以64位机制处理随机生成加密
md5sum :显示校验码 如md5sum /etc/inittab
sha1sum:显示校验码 如md5sum /etc/inittab
openssl实现私有ca:
1生成一对密钥,如: openssl genrsa >server.key 生成私钥,openssl rsa -in server.key -pubout 取出公钥
openssl genrsa -out server.key 生成私钥,
2生成自签署证书,如:openssl req -new -x509 -key server.key -out server.crt -days 365 新建(-new)自签证书(-x509),从私钥(-key server.key),保存在(-out server.crt) 有限期(-days 365)
以文本(-text)方式查看证书:openssl x509 -text -in serv.crt
3需要配置才能使用,/etc/pki/tls/openssl.cnf
dir:工作目录,/etc/pki/CA
certs:证书存放的地方 /etc/pki/CA/certs
crl_dir:证书吊销列表/etc/pki/CA/crl
database:给那些人发了证书存放地方/etc/pki/CA/index.txt
new_certs_dir:新建证书存放处/etc/pki/CA/newcerts
certificate:自己证书存放处 /etc/pki/CA/cacert.pem
serial:证书序列号 /etc/pki/CA/serial
crlnumber:吊销证书号码 /etc/pki/CA/crlnumber
crl:证书吊销列表文件 /etc/pki/CA/crl.pem
private_key:私钥 /etc/pki/CA/private/cakey.pem
default_days:默认有效期365
default_crl_days:证书吊销后存放在吊销列表的有效期30
建立步骤:
新建ca密钥和生成自签证书并配置相关文件
(1)(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem) 生成私钥并放在 /etc/pki/CA/private/cakey.pem
(2) openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem 生成自签证书并存放在/etc/pki/CA/cacert.pem
(3) mkdir crl newcerts certs 新建必要目录,三个目录都在/etc/pki/CA/下
(4) touch index.txt serial 新建必要文件,三个文件都在 /etc/pki/CA/下
(5) echo 01 > serial 序列号从01开始
新建服务器密钥
(6) (umask 007;openssl genrsa -out /etc/httpd/ssl/httpd.key) 生成私钥
(7)openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr 生成自签证书
(8) openssl ca in /etc/httpd/ssl/httpd.csr -out /etc/httpd/ssl/httpd.crt 自行签证ca
(9) cat /etc/pki/CA/index.txt 检测自行签证是否已经成功,若已重新添加一行就成功了
远程链接:telnet TCP/23端口(明文,不安全)-》ssh:tcp/22端口(认证加密,数据传输加密)--》openssh(开源协议和软件)
使用ssl协议客户端工具有:window:putty,securecrt,sshsecureshellclient,xmanager(可以文件传输)
Linux:ssh
使用ssl协议服务器端软件:sshd
客户端和服务器端都有配置文件,在/etc/ssh/ssh_config(客户端) , /etc/ssh/sshd_config(服务器端)
sshd_config:
protocol 2:协议版本1表示v1版本,2表示v2版本
port 22:端口默认22
AddressFamily any:任意(ipv4和ipv6)服务,any表示2个都可以
ListenAdress 0.0.0.0:默认任意ip都提供服务,可以添加多个
KeyregenerationInterval 1h :客户端与服务端一次链接,提供加密时间最长1h
ServerKeyBits 768,密钥长度768
ssh:
ssh -l root 192.168.2.192 客户端登录远程主机
ssh root@192.168.2.192 'ifconfig' 客户端不登录远程主机,但却在一次性的在主机中执行ifconfig命令,后退出
-l:指定用户
-p:指定端口,弄认22 如ssh -l root 192.168.2.192 -p 2222
-x或-y:在客户端打开服务器的图形界面窗口
ssh-keygen:生成一对密钥,如ssh-keygen -t rsa
-t:指定以什么算法(rsa,dsa)生成密钥
-f:指定密钥生成文件保存目录,如 ssh-keygen -t rsa -f .ssh/id_rsa
-N:指定密码,如ssh-keygen -t rsa -f .ssh/id_rsa -N '' 指定密码为空
ssh-copy-id:将公钥传输至服务端某用户的家目录下,也可以用scp,
如:ssh-copy-id -i .ssh/id_rsa.pub root@192.168.2.192
sftp root@192.168.2.192 root root :客户端远程登录服务器端,若已经生成密钥并把公钥传输到服务器端用户家目录下就不用用户名和密码root root
netstat -tnl:查看tcp/ip协议(t),以数字(n),显示正在监听(l)的进程
t:tcp
u:udp
r:路由表
n:以数字显示
l:正在监听的
p:那个进程监听的
scp:基于ssh复制命令,可以实现在主机间的传输数据
-r:复制目录
-a:递归复制目录
yum groupinstall "Compatibility libraries" "Base" "Development tools"
yum groupinstall "debugging Tools" "Dial-up Networking Support"
浙公网安备 33010602011771号