加密/解密:
加密協議:加密解密使用同一秘鑰:3des,aes
公鑰加密:公鑰私鑰對
數字簽名,密鑰交換
RSA,DSA數據簽名算法(DSS數據簽名標准)
單向加密:
md5,sha1,sha256,sh512(MD5輸出128bit,SHA1輸出160bit,SHA256輸出256bit)
密鑰交換:
DH:Deffie-Hellman
具體過程參照下面的SSL握手
===================================================
SSL:secure socket layer
ssl:sslv3現版本
IETF:tlsv1.0對位sslv3 tlsv1.2現在
ssl握手:
客戶端->服務端:客戶端自身支持的算法,請求服務器數字證書
服務端->客戶端:服務器端支持加密算法,發送數字證書(客戶端驗證信息後,數字證書中得到服務端公鑰,加密發送服務器)
客戶端驗證數據:1.服務器名字與證書名字是否一致;2.用本地緩存的對應信任CA公鑰,解密證書,查看是否一致;3.檢察證書內容是否被篡改,單向加密碼驗證;4.看證書是否到期;5看證書是否到期
客戶端->服務端端:加密數據發給客戶端,對稱秘鑰交換,之後對稱秘鑰加密通訊
數字證書:
CA:簽發安全證書,確保數據安全性
===============================================
openssl:
組成部分:
libcrypto:加密解密文件
libssl:ssl協議實驗
openssl:多用途命令行工具,自定義
gpg:pgp規范的實現
openssl加密命令:
加密文件(對稱加密):
工具:openssl enc,gpg
算法:des,3des,aes,blowfish,twofish,idea,cast5
enc工具:
加密openssl enc -e -算法 -a -salt -in 加密文件 -out 輸出文件
解密openssl enc -d -算法 -a -salt -in 加密文件 -out 輸出文件
可通過openssl ?查看
-a表示文本編碼輸出
-salt加隨機數
TEST:
單向加密:
算法:md5,sha1
工具:openssl dgst,md5sum,sha1sum,sha224sum,sha256sum,sha384sum,
sha512sum
openssl dgst -算法 PATH 此處算法為上述算法且不限於上述算法,但不同於加密算法
mac碼:用於表示數據完整性的值
機制:CBC-MAC
HMAC:md5或者sha1算法
生成用戶密碼:
openssl passwd -1 -salt 8位隨機數
生成隨機數:openssl rand -hex 4
公鑰加密:
工具:gpg ,openssl rsautl
生成密鑰對:
操作過程:生成私鑰,從私鑰中提取公鑰
openssl genrsa -out PATH NUM_BITS
括號內的命令:通過打開一個子shell進程進行
(umask 077;openssl genrsa -out PATH NUM_BITS)主要為了安全性考慮,子shell運行不影響原機環境
從私鑰中提取公鑰:
openssl rsa -in PATH -pubout
公鑰加密:完成秘鑰交換
私鑰加密:完成身份驗證
隨機數生成器:
random( 安全系數較高), urandom
熵池:保存硬件中斷產生的隨機數
/dev/random:僅從熵池中返回隨機數,當熵池中的隨機數耗盡時,取隨機數的進程將會被阻塞;
/dev/urandom:先從熵池中取隨機數,當熵池中的隨機耗盡時,就通過偽隨機數生成器生成隨機數;
使用openssl構建私有CA:
1.生成秘鑰
2.生成自簽署簽名
(1) 私鑰用於簽發證書時,向證書添加數字簽名使用;
(2) 證書:每個通信方都導入此證書至“受信任的證書頒發機構”;
創建CA配置文件 :/etc/pki/tls/openssl.cnf (查看此文件可查看一下配置文件存放位置及相關信息)
工作目錄:/etc/pki/CA/
1.建立私有秘鑰文件:/etc/pki/CA/private/cakey.pem
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
2.生成自簽署簽名:從密鑰從提取公鑰及數字簽名證書到/etc/pki/tls/openssl.cnf指定的certificate指定位置
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days #
-new: 生成新的證書簽署請求;
-key:私鑰文件路徑,用於提取公鑰;
-days N: 證書有效時長,單位為“天”;
-out:輸出文件保存位置;
-x509:直接輸出自簽署的證書文件,通常只有構建CA時才這麼用;
3.提供輔助文件:提供幫助文件及輸入序列號
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial
分發證書:
TEST:
Openssh:
ssh:secure shell (監聽tcp/22) 用於取代talnet(明文傳輸,監聽tcp/23)
現在主流版本為V2
兩種驗證方式:
1.用戶口令
2.密鑰對驗證
Openssh:ssh開源軟件
sshd: 服務器
ssh: 客戶端
scp: 安全跨主機復制工具,基於ssh協議實現;
sftp:安全ftp
服務器配置文件:sshd: /etc/ssh/sshd_config
客戶端配置文件:ssh: /etc/ssh/ssh_config
基於密鑰認證:
在客戶端生成一對密鑰,私自己留存;公鑰通過私密方式保存至要登錄的遠程服務某用戶的家目錄的專用於ssh通信的文件;
生成秘鑰 :ssh-keygen -t rsa
傳輸秘鑰:ssh-copy-id -i ~/.ssh/id_rsa.put user@host
scp遠程復制命令:
push: scp [-rp] /path/from/somefile user@host:/path/to/somewhere
pull: scp [-rp] user@host:/path/from/somefile /path/to/somewhere
-P portnumber(一旦默認端口更改需加此參數)
sshd服務器端的配置:
/etc/ssh/sshd_config
directive value
Port 22 監聽端口
AddressFamily any 監聽地址(通過那個地址對外提供服務)
Protocol 2 版本協議
限制可登錄用戶:
PermitRootLogin : 是否允許管理員直接登錄;
AllowUsers user1 user2 ...允許登陸白名單
AllowGroups grp1 grp2 ... 允許登陸組白名單
DenyUsers user1 ... 允許登陸黑名單
DenyGroups grp1 ... 允許登陸黑名單
僅監聽需要監聽的IP地址:
ListenAddress 0.0.0.0
最大允許登陸嘗試數:
MaxAuthTries 6
ssh登陸log日志:
/var/log/secure