• 02、Linux下sshd以及openssl的知识点


    ssh服务优化点
    1、不要使用默认端口
    2、禁止使用protocol version 1
    3、限制可登陆用户   AllowUsers-->>白名单
    4、设置空闲会话超时时长
    5、利用防火墙设置ssh访问策略
    6、仅监听特定的IP地址(内网IP)
    7、基于口令认证,使用强密码策略
    8、使用基于密钥的认证
    9、禁止root用户直接登陆
    10、限制ssh的访问频度和并发在线数
    11、做好日志,经常分析
    
    OpenSSL三个组件
        openssl:多用途的命令行工具
        libcrypto:加密解密库
          libssl:ssl协议的实现
    
    PKI:Public Key Infrastructure
        CA  -->> 颁发
        RA  -->> 注册
        CRL -->> 注销
        证书存取库
        
     
    
    证书申请及签署步骤
        1、生成申请请求(例如 银行填单)
        2、RA核验
        3、CA签署
        4、获取证书(从CA存取库 获取证书)
    
    
        
    建立私有CA的方式  
        OpenCA  
        openssl**   
    
    如何创建私有CA
        openssl配置文件   /etc/pki/tls/openssl.cnf
            1、创建所需要的文件
                touch index.txt
                echo 01 >seial
            2、CA自签证书
                (umask 077;openssl genrsa -out private/cakey.pem 2048)
                openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days 7300 -out /etc/pki/CA/cacert.pem
                -new:生成新证书签署请求
                -x509:用于CA生成自签证书
                -key:从私钥生成公钥
                -out:保存的位置/etc/pki/tls/openssl.conf定义了路径
                
            3、发证
                1)请求证书的主机生成证书请求
                    (umask 077;openssl genrsa -out /path/to/file.key 2048)
                    openssl req -new -key /path/to/file.key -out /etc/file.csr
                    
                2)把请求文件传输给CA
                    scp file.csr root@192.168.1.1:/tmp
                3)签署证书、并将证书发给请求者   
                    openssl ca -in /tmp/file.csr -out /etc/pki/CA/certs/file.crt -days 300 
                    
                4)吊销证书......
    
    
  • 相关阅读:
    搜索框的创建
    自定义非等高 Cell
    自定义等高 Cell
    表格多选删除
    聊天布局
    表格编辑
    表格折叠
    tableView 的协议方法
    UITouch
    UIDevice
  • 原文地址:https://www.cnblogs.com/LI-HONG-SHENG/p/8483052.html
Copyright © 2020-2023  润新知