第十四周 证书和ssh服务

最新推荐文章于 2022-04-26 11:10:44 发布
最新推荐文章于 2022-04-26 11:10:44 发布
阅读量119 收藏
点赞数
分类专栏: linux 文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfhshwj/article/details/114789578
版权

1.创建私有CA并进行证书申请。

创建私有CA

1)创建CA相关目录和文件

[root@centos8 ~]#mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}

[root@centos8 ~]#tree /etc/pki/CA/

#index.txt和serial文件在颁发证书时需要使用,如果不存在,会出现错误提示

[root@centos8 ~]#touch /etc/pki/CA/index.txt

[root@centos8 ~]#echo 01 > /etc/pki/CA/serial     #默认开始序列号,16进制.

2) 创建CA的私钥

[root@centos8 ~]#cd /etc/pki/CA/

[root@centos8 CA]#(umask 066; openssl genrsa -out private/cakey.pem 2048)

3) 给CA颁发自签名证书

[root@centos8 ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out     /etc/pki/CA/cacert.pem

#在match模式下,国家,省,公司名称三项必须和CA一致

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:

Locality Name (eg, city) [Default City]:

Organization Name (eg, company) [Default Company Ltd]:

Organizational Unit Name (eg, section) []:

Common Name (eg, your name or your server's hostname) []:

Email Address []:

#查看证书信息

[root@centos8 ~]#cat /etc/pki/CA/cacert.pem

[root@centos8 ~]#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text

[root@centos8 ~]#sz /etc/pki/CA/cacert.pem

#将文件cacert.pem传到windows上,修改文件名为cacert.pem.crt,双击可以看到下面显示

用户申请证书

4)用户生成私钥和证书申请

4.1)生成私钥

[root@centos8 ~]#mkdir /data/app1

[root@centos8 ~]#(umask 066; openssl genrsa -out   /data/app1/app1.key 2048)

4.2)生成证书申请文件

[root@centos8 ~]#openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

[root@centos8 ~]#ll /data/app1/

默认有三项内容必须和CA一致:国家,省份,组织,如果不同,会出现错误提示

5) CA颁发证书

[root@centos8 ~]#openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

[root@centos8 ~]#tree /etc/pki/CA

6)查看证书信息

[root@centos8 ~]#cat /etc/pki/CA/certs/app1.crt

7)将证书相关文件发送到用户端使用

[root@centos8 ~]#cp /etc/pki/CA/certs/app1.crt /data/app1/

2.总结ssh常用参数、用法

ssh命令:是ssh客户端,允许实现对远程系统经验证地加密安全访问

ssh命令格式:

ssh [user@]host [COMMAND]

ssh [-l user] host [COMMAND]

常见选项:

-p port:远程服务器监听的端口

-b 指定连接的源IP

-v 调试模式

-C 压缩方式

-X 支持x11转发

-t 强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2   ssh  remoteserver3 ; 1-->2-->3,最终目的链接3

-o option   如:-o StrictHostKeyChecking=no

-i <file> 指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519~/.ssh/id_rsa

范例1:远程连接服务器

[root@centos8 ~]#ssh -t 10.0.0.81 ssh -t 10.0.0.82 ssh 10.0.0.83

范例2:远程执行命令

[root@centos6 ~]#ssh 10.0.0.82 "sed -i.bak '/StrictHostKeyChecking/s/.*/StrictHostKeyChecking no/' /etc/ssh/ssh_config"

范例3:在远程主机运行本地shell脚本

脚本在客服端

[root@centos8 ~]#ssh 10.0.0.83 /bin/bash < test.sh

脚本在服务端

[root@centos8 ~]#ssh 10.0.0.83 /data/test.sh

2 总结sshd服务常用参数。

服务器端:sshd

服务器端的配置文件: /etc/ssh/sshd_config

服务器端的配置文件帮助:man 5 sshd_config

常用参数:

Port  22                                          #链接外网的服务,端口要一定要修改

ListenAddress ip

LoginGraceTime 2m

PermitRootLogin yes                      #默认ubuntu不允许root远程ssh登录

StrictModes yes                             #检查.ssh/文件的所有者,权限等

MaxAuthTries   6     

MaxSessions  10                          #同一个连接最大会话

PubkeyAuthentication yes            #基于key验证

PermitEmptyPasswords no          #空密码连接

PasswordAuthentication yes        #基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10                  #单位:

ClientAliveCountMax 3               #默认3

UseDNS yes                              #提高速度可改为no

GSSAPIAuthentication yes        #提高速度可改为no

MaxStartups                              #未认证连接最大值,默认值10

Banner /path/file

#以下可以限制可登录用户的办法:

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

 

范例1:设置ssh 空闲60s 自动注销

Vim /etc/ssh/sshd_config

ClientAliveInterval     60

ClientAliveCountMax   0

Service sshd restart

#注意:新开一个连接才有效

范例2:解决ssh登录缓慢的问题

vim /etc/ssh/sshd_config

UseDNS no

GSSAPIAuthentication no

systemctl restart sshd

范例3:在 ubuntu 上启用root 远程ssh登录

#修改sshd服务配置文件

vim /etc/ssh/sshd_config

#PermitRootLogin prohibit-password 注释掉此行

PermitRootLogin yes 修改为下面形式

systemctl restart sshd

 

ssh服务的最佳实践

  • 建议使用非默认端口
  • 禁止使用protocol version 1
  • 限制可登录用户
  • 设定空闲会话超时时长
  • 利用防火墙设置ssh访问策略
  • 仅监听特定的IP地址
  • 基于口令认证时,使用强密码策略,比如:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12|
  • xargs
  • 使用基于密钥的认证
  • 禁止使用空密码
  • 禁止root用户直接登录
  • 限制ssh的访问频度和并发在线数
  • 经常分析日志
hfhshwj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ssh 的参数 -o + 检查是否是无密码访问
10-24 2159
转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=29578485&id=5300984 写脚本想检查服务器之间是否建立了 公钥实现了无密码访问查找过程中找到了ssh 的一些参数,贴出来,怕下次找不到了这些参数可用在 ssh -o 后面 ,每个参数前面都必须有 -o脚本如下:ssh -o Num...
SSH和SFTP服务分离详细文档
01-12
SSH 和 SFTP 服务分离详细文档 本文档旨在指导用户如何将 SSH 和 SFTP 服务分离,以便更好地管理和维护服务器。 一、SFTP 概述 SFTP(Secure File Transfer Protocol)是一种基于 SSH 的文件传输协议,提供安全的...
ssh -o 常用选项
热门推荐
kwame211的博客
01-16 1万+
ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o StrictHostKeyChecking=no $ip  “command”   #ConnectTimeout=3                   连接超时时间,3秒 #ConnectionAttempts
Linux-系统管理-ssh常用参数
The One
09-20 2443
分享一下以前总结的linux中,ssh的常用参数:ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o StrictHostKeyChecking=no $ip “command”1 ConnectTimeout=3 连接时超时时间,3秒 2 Conne
SSH 证书登录教程
myWorld001的博客
04-26 1795
SSH服务器登录工具,有三种登录方式 密码登录 密钥登录 证书登录 更合理、更安全 证书部署http://www.ruanyifeng.com/blog/2020/07/ssh-certificate.html
SSH常用参数
chenglinhust的专栏
08-11 5052
SSH常用参数 ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o StrictHostKeyChecking=no $ip  “command” 1 ConnectTimeout=3                    连接时超时时间,3秒 2 Co
配置 SSH 服务以使用证书登录 Linux 服务器.docx
07-13
本文档介绍如何配置 SSH 服务以使用证书登录 Linux 服务器,包括生成私钥、公钥、配置 SSH 服务器、authorized_keys 文件的设置、PuTTY 生成密钥对、Linux 和 Windows 下的 SSH 客户端配置等方面的内容。 一、生成...
配置 SSH 服务以使用证书登录 Linux 服务器.pdf
11-19
//
Linux配置SSH和Xshell连接服务器的教程(图解)
09-14
可以使用`dpkg -l | grep ssh`命令检查SSH服务的状态。如果SSH服务器尚未启动,可以使用`sudo systemctl start ssh`命令启动它,并使用`sudo systemctl enable ssh`使其在系统启动时自动启动。 Xshell是一款流行的...
阿里云服务器基本配置和SSH远程连接
01-09
阿里云服务器基本配置和SSH远程连接 1. 基本流程 首先,你需要有一台阿里云服务器(其他云服务器大同小异)。 安装SSH客户端。 云服务器初始化配置。 SSH密码远程连接 2. 安装SSH windows 10用户,打开设置 -> 应用->...
ssh链接有证书服务器_如何使用SSH证书进行可扩展,安全和更透明的服务器访问
weixin_26722031的博客
08-02 857
ssh链接有证书服务SSH is the standard tool used by pretty much anyone accessing the server. Yet very few people know about SSH certificates. We are still stuck with copying and pasting our public key to the...
SSH Config 那些你所知道和不知道的事
chenguiling0523的博客
01-18 589
本文链接:https://deepzz.com/post/how-to-setup-ssh-config.html Desc:SSH 相关的使用技巧,用 .ssh/config 简化你的工作流程,ssh 免密登录,ssh 关键词登录,ssh 代理登录,ssh 多连接共享 SSH(Secure ...
第30
hfhshwj的博客
07-26 772
1、实现haproxy+keepalived集群高可用集群转发 试验环境: client: 10.0.0.181 Ubuntu1804 haproxy01: 10.0.0.100 centos 7.9 haprxoy02: 10.0.0.101 centos 7.9 memcached01: 10.0.0.160 centos 7.9 memcached02: 10.0.0.161 centos 7.9 准备: 软件版本:haproxy-2.4.0.tar.gz lua-5.4.3.
第二十四 SNAT和DNAT使用,iptables规则保存,LVS算法
hfhshwj的博客
05-30 657
1、NAT原理总结 NAT: network address translation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链 NAT作用:修改请求报文/响应报文的源/目标IP NAT类型: SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装。方法,修改请求报文源IP,将源IP修改成能上外网的IP,实现本地主机访问外部网络。例如路由器 DNAT:destination NA
第二十 ansible playbook实现httpd批量部署和MySQL高可用方案MHA
hfhshwj的博客
04-20 538
1、MySQL的高可性解决方案MHA实战 实验环境: manager:10.0.0.79 centos 7.9 MHA管理端 master:10.0.0.82 centos 8.1 mysql 5.7 slave1:10.0.0.83 centos 8.1 mysql.5.7 slave2:10.0.0.85 centos 8.1 mysql.5.7 操作步骤 1) 在manager管理节点上安装两个包(不支持CentOS8,只支持CentOS7 以下版本) 下载地址:https://git
用户和组管理命令总结
hfhshwj的博客
01-02 488
用户和组管理命令 1.用户管理命令 用户管理命令:useradd、usermod、userdel、id、su、passwd、chage、chfn、chsh、figer 1.1 useradd命令 useradd命令:创建新用户 格式: useradd [options] LOGIN 常见选项:     -u UID 指定用户UID号     -o 配合-u 选项,不检查UID的唯一性    &nb
第十 ubuntu网络配置、expct、数组
hfhshwj的博客
01-28 340
1、Ubuntu系统网络配置总结(包括主机名、网卡名称、网卡配置) 设置主机名 查看主机名:hostname 主机名文件:/etc/hostname 修改主机名: hostnamectl set-hostname ubuntu1804.magedu.org #该命令是直接修改/etc/hostname文件,立即生效,$hostname变量需要退出,重新进 入才能生效 修改网卡名称为传统模式: 第一步 :修改/etc/default/grub文件方法 手动修改/etc/default/grub
第31 实现LVS+keepalived高可用集群和kvm虚拟机的创建
hfhshwj的博客
08-10 295
1、实现LVS+keepalived高可用集群。 试验环境: web服务器: 10.0.0.75 ,10.0.0.76 keepalive+lvs: master 10.0.0.73,slave 10.0.0.74 VIP:10.0.0.70 1.1 所有服务器时间同步 # yum install -y chrony # systemctl enable --now chronyd 1.2 web服务器部署nginx n1:10.0.0.75 [root@n1 ~]#yum insta
SSH登录Linux服务器常用命令简介
对于初次接触SSH登陆LINUX服务器的人来说,可能会觉得使用起来有些复杂,但是只要掌握了常用的命令,就能够方便地进行远程维护和管理。 首先,我们需要使用ssh命令来登陆LINUX服务器。登陆命令的格式为"ssh ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值