1、创建私有CA并进行证书申请。
(1)创建CA所需要的文件
(2)用 echo 01 > /etc/pki/CA/serial 指定第一个证书序列号
(3)生成CA私钥
(4)生成CA自签名证书
(5)为需要使用证书的主机生成私钥
(6) 为需要使用证书的主机生成证书申请文件
(7)在CA签署证书并将证书颁发给请求者
(8)根据证书序列号检验证书有效性
(9)将cacer.pem和app1.key和app1.crt打包发给服务器使用
2、总结ssh常用参数、用法
1、什么是SSH?
SSH是一种网络协议,用于计算机之间的加密登录。最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。
2、SSH登录原理
3、 SSH基本用法
(1)无选项参数运行 SSH
ssh 服务器IP地址
第一次连接目标主机时,ssh 会让你确认目标主机的真实性。如果你回答的是 NO,SSH 将不会继续连接,只有回答 Yes才会继续。下一次再登陆此主机时,SSH 就不会提示确认消息了。
(2)指定登陆用户
ssh 授权用户名@服务器IP地址
默认情况下 ssh 会尝试用当前用户作为用户名来连接。
(3)指定端口
ssh -p 22 授权用户名@服务器IP地址
SSH 默认使用的端口号是 22。大多现代的 Linux 系统 22 端口都是开放的。如果你运行 ssh 程序而没有指定端口号,它直接就是通过 22 端口发送请求的。我们也可以换成其他的端口号,只需要编辑/etc/sshd_config文件将Port 22更改为自己想要的端口号即可。
(4)对所有数据请求压缩
ssh -C 服务器IP地址
所有通过 SSH 发送或接收的数据将会被压缩,并且任然是加密的。要使用 SSH 的压缩功能,使用 -C 选项。
3、总结sshd服务常用参数。
配置文件:/etc/ssh/ssh_config
1、Port 22 # 端口,默认22
2、ListenAddress IP # 设置绑定的ip地址
3、LoginGraceTime 2m #设定登陆超时时间
4、PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
5、StrictModes yes #检查.ssh/文件的所有者,权限等
6、MaxAuthTries 6 #最大尝试次数
7、MaxSessions 10 #同一个连接最大会话
8、PubkeyAuthentication yes #基于key验证
9、PermitEmptyPasswords no #空密码连接
10、PasswordAuthentication yes #基于用户名和密码连接
11、GatewayPorts no #VPS做转发
12、ClientAliveInterval 10 #如果n秒之内没有接收到客户端的消息,就通过加密通道发送一条信息。参见ClientAliveCountMax。默认值为0,意味着不发送消息。这项声明通过加密通道传递消息,不容易受到IP欺骗攻击。它区别于TCPKeepAlive,后者使用TCP的keepalive选项,容易受到IP欺骗攻击。单位:秒
13、ClientAliveCountMax 3 #指定sshd从客户端断开连接之前,在没有接收到响应时能够发送client-alive消息的条数。参见ClientAliveInterval。.默认3
14、UseDNS yes #可以关闭DNS反解析,提升登陆速度
15、GSSAPIAuthentication yes #提高速度可改为no
16、MaxStartups #未认证连接最大值,默认值10
17、Banner /path/file 绝大多数的扫描器(INCLUDED ISS)都是从banner info来判断services是否有漏洞的
18、AllowUsers user1 user2 user3 #以下可以限制可登录用户的办法:
19、DenyUsers userlist是一个由空格隔开的用户名列表,指定哪些用户不可以使用sshd登录。这个列表可以含有通配符*和?。可以用user或者user@host的形式来指定用户。如果使用的是第二种格式的话,那么要确保将host指定为hostname命令所返回的值。
20、AllowGroups 这个指令后面跟着一串用空格分隔的组名列表(其中可以使用"*“和”?"通配符)。默认允许所有组登录。如果使用了这个指令,那么将仅允许这些组中的成员登录,而拒绝其它所有组。
21、DenyGroups 这个指令后面跟着一串用空格分隔的组名列表(其中可以使用"*“和”?"通配符)。默认允许所有组登录。如果使用了这个指令,那么这些组中的成员将被拒绝登录。
4、搭建dhcp服务,实现ip地址申请分发
(1)概述:
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
(2)工作原理
首先客户机以广播的形式发送一个DHCP的Discover报文,用来发现DHCP服务器;DHCP服务器接受到客户机发来的Discover报文之后,就单播一个DHCP Offer报文来回复客户机,offer报文包含ip地址和租约信息,客户机收到服务器发送的offer报文之后,以广播的形式向DHCP服务器发送Request报文,用来请求服务器将该IP地址分配给它,之所以要广播发送是通知其他DHCP服务器,我已经接受这个DHCP服务器的信息了,不接受其他DHCP服务器的信息。服务器接受到request报文后,以单播的形式发送ACK报文给客户机。
dhcp租期更新:当客户机的租约期剩下50%时,客户机会向DHCP服务器单播一个request报文,请求续约,服务器接受到request报文后,会单播ack报文表示延长续约期
dhcp重绑定:当客户机的租约期超过50%而且原先的DHCP服务器并没有同意客户机续约ip地址时,那么当客户机的租约期只剩下12.5%时,客户机会向网络中其他的DHCP服务器发送request报文,请求续约,如果其他服务器有关于客户机当前的ip地址信息,则单播一个ACK报文回复客户器以续约,如果没有,则回复一个NAK报文。此时,客户机会申请重新绑定ip地址。
dhcp ip地址的释放:当客户机直到租约期满却还每收到服务器回复时,会停止使用该ip地址。当客户机租约期未满却不想使用服务器提供的ip地址时,会发送一个release报文,告知服务器清楚相关的租约信息,释放该ip地
(3)准备搭建环境:DHCP服务器主机调成静态ip,关闭虚拟机的DHCP 服务,客户机调成自动获取IP
1 安装dhcp-server
2找到配置模板文件复制到配置文件所在路径下(建议备份原有配置文件)
3 修改配置文件
其中:
option domain-name-servers 114.114.114.114,8.8.8.8; 表示DNS服务器
subnet 192.168.88.0 netmask 255.255.255.0 { #表示所处网络
range 192.168.88.2 192.168.100 ; # 从192.168.88.2开始分配IP,分到192.168.1.100
option routers 192.168.88.1; } #选择路由
4启动 dhcpd
5同环境的其他主机重启网卡后已获取到新IP