加密-CA-PAM

最新推荐文章于 2024-05-14 11:40:31 发布
最新推荐文章于 2024-05-14 11:40:31 发布
阅读量970 收藏
点赞数
分类专栏: 日常 文章标签: 安全 算法 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang94sh11b3/article/details/127398227
版权

加密和CA和PAM

加密算法
对称加密
非对称(公钥)加密
单向加密
##########################################################################################################
常见对称加密算法:
DES:Data Encryption Standard,56bits
3DES:
AES:Advanced (128, 192, 256bits)
Blowfish,Twofish
IDEA,RC6,CAST5

Alice ---Bob 
对称算法 key1=key2
data -- 加密(key1) -- data' ---解密(key2)---data
#########################################################################################################
非对称加密:密钥是成对出现
公钥:public key,公开给所有人,主要给别人加密使用
私钥:secret key,private key 自己留存,必须保证其私密性,用于自已加密签名
特点:用公钥加密数据,只能使用与之配对的私钥解密;反之亦然
功能:
数据加密:适合加密较小数据,比如: 加密对称密钥
数字签名:主要在于让接收方确认发送方身份
缺点:
密钥长,算法复杂
加密解密效率低下
常见算法:
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变
的,可实现加密和数字签名
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准)
ECC(Elliptic Curves Cryptogra
算法:公开
key:密钥,不公开

Alice ---Bob 
非对称算法 key1<>key2
data -- 加密(key1) -- data' ---解密(key2)---data

Alice
Public key 公开 Pa
Secret private key 不公开 Sa
Bob
Public  key Pb
Secret private key Sb  

用任何一个密钥加密,只能用对应另一把密钥解密
Alice ---> Bob 加密
data -- 加密(key1=Pb) -- data' ---解密(key2=Sb)---data

Alice ---> Bob  来源确认
      ---> jack 
data -- 加密(key1=Sa) -- data' ---解密(key2=Pa)---data

#########################################################################################################
哈希算法:也称为散列算法,将任意数据缩小成固定大小的“指纹”,称为digest,即摘要
特性:
任意长度输入,固定长度输出
若修改数据,指纹也会改变,且有雪崩效应,数据的一点微小改变,生成的指纹值变化非常大。
无法从指纹中重新生成数据,即不要逆,具有单向性
功能:数据完整性
常见算法
md5: 128bits、sha1: 160bits、sha224 、sha256、sha384、sha512

hash(data)-->digest摘要,相当于指纹
1 单向
2 data 相同,digest必相同
3 data不相同,digest必不相同
4 hash算法固定,则digest的长度固定
5 data发生轻微变化,而digest会发生巨大的变化
常用工具
md5sum | sha1sum [ --check ] file
[root@rocky ~]# md5sum /etc/passwd
22f86799911b65a84fb53d951d60a5f4  /etc/passwd
[root@rocky ~]# sha1sum /etc/passwd
f0c8789834424c0d5464997cf3626844ce5ad193  /etc/passwd

openssl、gpg
rpm -V
数字签名
方法1 成本高,加密慢
A-->B 	P公钥 S私钥 hash算法
PB(SA[hash(date)]+date)-->B
先把数据算出hash值,然后用A的私钥加密hash值(签名证书),再把证书和数据用B的公钥加密,完成后传给B
###############
方法2
A-->B P公钥 S私钥 hash算法
对称key{SA[hash(date)]+date}->PB(对称key)
先把数据算出hash值,然后用A的私钥加密hash值(签名证书),再把证书和数据用对称加密,然后再把对称加密用B的公钥加密,完成后传给B
CA
PKI:Public Key Infrastructure 公共密钥加密体系
签证机构:CA(Certificate Authority)
注册机构:RA
证书吊销列表:CRL
证书存取库:
X.509:定义了证书的结构以及认证协议标准
版本号
序列号
签名算法
颁发者
有效期限
主体名称
证书类型:
证书授权机构的证书
服务器证书
用户证书
获取证书两种方法:
自签名的证书: 自已签发自己的公钥
使用证书授权机构:
生成证书请求(csr)
将证书请求csr发送给CA
CA签名颁发证书
私有CA实现证书认证
vim /etc/pki/tls/openssl.cnf

[ CA_default ]

dir     = /etc/pki/CA       # Where everything is kept #存放目录
certs       = $dir/certs        # Where the issued certs are kept #存放证书目录
crl_dir     = $dir/crl      # Where the issued crl are kept   #证书吊销列表
database    = $dir/index.txt    # database index file.       #证书索引数据库文件
#unique_subject = no            # Set to 'no' to allow creation of
                    # several certs with same subject.
new_certs_dir   = $dir/newcerts     # default place for new certs.

certificate = $dir/cacert.pem   # The CA certificate			#CA自己证书
serial      = $dir/serial       # The current serial number		#证书编号
crlnumber   = $dir/crlnumber    # the current crl number		#证书吊销列表编号
                    # must be commented out to leave a V1 CRL
crl     = $dir/crl.pem      # The current CRL					#证书吊销列表文件
private_key = $dir/private/cakey.pem# The private key			#CA私钥

三种策略:match匹配、optional可选、supplied提供
match:要求申请填写的信息跟CA设置信息必须一致
optional:可有可无,跟CA设置信息可不一致
supplied:必须填写这项申请信息
[ policy_match ]
countryName     = match
stateOrProvinceName = match
organizationName    = match
organizationalUnitName  = optional
commonName      = supplied
emailAddress        = optional
#############################################
1.创建CA所需文件
mkdir -p /etc/pki/CA/{certs,crl,newcerts,private}			
touch /etc/pki/CA/index.txt
echo 01 >/etc/pki/CA/serial			#指定第一个颁发证书的序列号
2.生成CA私钥
cd /etc/pki/CA/
(chmod 600权限)openssl genrsa -out private/cakey.pem 2048
3.生成CA自签名证书
国家代码:https://country-code.cl/
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
选项说明:
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

国家#Country Name (2 letter code) [XX]:CN
省#State or Province Name (full name) []:beijing
城市#Locality Name (eg, city) [Default City]:beijing
公司#Organization Name (eg, company) [Default Company Ltd]:magedu
部门#Organizational Unit Name (eg, section) []:m48
服务(域名)#Common Name (eg, your name or your server's hostname) []:ca.magedu.org
邮箱#Email Address []:admin@magedu.org
查看证书信息#openssl x509 -in /etc/pki/CA/cacert.pem -noout -text
################################################################################################
申请颁发证书
1、为需要使用证书的主机生成生成私钥
(chmod 600权限) openssl genrsa -out /tmp/www.key
2、为需要使用证书的主机生成证书申请文件
openssl req -new -key /tmp/www.key -out /tmp/www.csr
国家#Country Name (2 letter code) [XX]:CN
省#State or Province Name (full name) []:beijing
城市#Locality Name (eg, city) [Default City]:beijing
公司#Organization Name (eg, company) [Default Company Ltd]:magedu
部门#Organizational Unit Name (eg, section) []:m50
服务(域名)#Common Name (eg, your name or your server's hostname) []:www.magedu.org
3、在CA签署证书并将证书颁发给请求者
openssl ca -in /tmp/www.csr -out /etc/pki/CA/certs/www.crt -days 100		#100天
注意:默认要求 国家,省,公司名称三项必须和CA一致
4、查看证书中的信息:
openssl x509 -in /PATH/FROM/CERT_FILE -noout   -text|issuer|subject|serial|dates
openssl x509 -in certs/www.crt  -noout -text
################################################################################################
吊销证书
吊销证书#	openssl ca -revoke /etc/pki/CA/certs/www.crt 
生成吊销列表#	echo 01 > /etc/pki/CA/crlnumber
更新吊销列表文件#	openssl ca -gencrl -out /etc/pki/CA/crl.pem
查看证书信息#	openssl ca -status 01
CA私有证书实例
创建CA所需文件
mkdir -p /etc/pki/CA/{certs,crl,newcerts,private}			
touch /etc/pki/CA/index.txt
echo 01 >/etc/pki/CA/serial	
cd /etc/pki/CA/
生成CA私钥
openssl genrsa -out private/cakey.pem 2048
生成CA自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:chaoyang
Organization Name (eg, company) [Default Company Ltd]:wanghaha
Organizational Unit Name (eg, section) []:haha
Common Name (eg, your name or your server's hostname) []:CA

为需要使用证书的主机生成生成私钥
openssl genrsa -out /ss/wang.key
为需要使用证书的主机生成证书申请文件
openssl req -new -key /ss/wang.key -out /ss/wang.csr
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:chaoyang
Organization Name (eg, company) [Default Company Ltd]:wanghaha
Organizational Unit Name (eg, section) []:hehe
Common Name (eg, your name or your server's hostname) []:www.wang.com
在CA签署证书并将证书颁发给请求者
openssl ca -in /ss/wang.csr -out /etc/pki/CA/certs/wang.crt -days 3650
查看证书中的信息
openssl x509 -in certs/wang.crt  -noout -text

吊销
openssl ca -revoke /etc/pki/CA/certs/wang.crt 
生成吊销列表
echo 01 > /etc/pki/CA/crlnumber
更新吊销列表文件
openssl ca -gencrl -out /etc/pki/CA/crl.pem
查看证书状态
openssl ca -status 01
CA私有证书命令版
#####CA端操作
dnf -y install  openssl-perl
vim /usr/bin/CA.pl
my $DAYS = "-days 365";  "-days 3650"; 私钥
my $CADAYS = "-days 1095"; 	"-days 7300" CA本身证书
CA.pl -newca	#搭建CA
[root@rocky ~]# CA.pl -newca
Enter PEM pass phrase:1234
Verifying - Enter PEM pass phrase:1234
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:wanghaha
Organizational Unit Name (eg, section) []:wanghaha
Common Name (eg, your name or your server's hostname) []:CA
A challenge password []:1234
An optional company name []:1234

[root@rocky mnt]#mkdir server{1..7}
#####客户端操作
dnf -y install  openssl-perl
[root@centos8-node1 yum.repos.d]# CA.pl -newreq	
Enter PEM pass phrase:1111
Verifying - Enter PEM pass phrase:1111
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:wanghaha
Organizational Unit Name (eg, section) []:wanghaha
Common Name (eg, your name or your server's hostname) []:server1
#####CA端操作
[root@rocky mnt]# cd server1/
[root@rocky server1]# scp root@192.168.1.111:/etc/yum.repos.d/newreq.pem  ./
[root@rocky server1]# vim /etc/pki/tls/openssl.cnf
default_days    = 365 改成 3650
[root@rocky server1]# CA.pl -sign	#签名
Enter pass phrase for /etc/pki/CA/private/cakey.pem:1234
Certificate is to be certified until Aug 12 15:37:51 2032 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
[root@rocky server1]# scp newcert.pem root@192.168.1.111:/etc/yum.repos.d/
#####客户端操作
[root@centos8-node1 yum.repos.d]# openssl rsa -in newkey.pem -out newkey-1.pem 生成一个不需要密码的key
[root@centos8-node1 yum.repos.d]# ll
-rw-r--r--  1 root root 4547 Aug 15 11:39 newcert.pem
-rw-------  1 root root 1679 Aug 15 11:41 newkey-1.pem
-rw-------  1 root root 1854 Aug 15 11:29 newkey.pem
-rw-r--r--  1 root root 1005 Aug 15 11:30 newreq.pem
王帅斌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
62.第十四章 加密安全 -- PAM认证机制和时间同步服务(六)
Raymond的博客
02-03 506
5.PAM认证机制 5.1 PAM 介绍 认证库:文本文件,MySQL,NIS,LDAP等 PAM:Pluggable Authentication Modules,插件式的验证模块,Sun公司于1995 年开发的一种与认证相关的通用框架机制。PAM 只关注如何为服务验证用户的 API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序一种认证框架,自身不做认证 5.2 PAM 架构 PAM提供
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
Linux-Pam-1.3.0.tar.gz is a package for installing PAM.
【Linux云计算架构:第三阶段-Linux高级运维架构】第17章——Linux系统安全概述-sudo授权-pam认证机制-对称加密-非对称加密-md5-数字证书
就叫一片白纸的博客
07-17 599
本节内容: 17.1 Linux系统安全概述-su-sudo授权 17.2 pam认证机制概述 17.3 对称加密-非对称加密方法 17.4 md5-sha1-哈希算法使用方法 17.5 CA证书的作用 本节所使用实验环境:RHEL 7 (如有使用RHEL 6,会特别注明) 17.1 Linux系统安全概述-sudo授权 17.1.1 Linux第三阶段资深知识整体概述: /安全、稳...
安全加密之-PAM
weixin_34014555的博客
11-12 204
时间:2018.1.16 作者:李强 参考:man,info,magedu讲义,万能的internet 实验环境:VMware® Workstation 12 Pro ,Centos 6.9,Centos 7.4,SecureCRT Version 8.1.4 声明:以下英文纯属个人翻译,英文B级,欢迎纠正,以下内容纯属个人理解,并没有对错,只是参考,盗...
系统是否有后门?Linux安全加固之PAM知多少
jiangzhuwanshi2008的博客
02-16 1963
前言Linux在新装的系统中,更改用户的密码时可能会遇到以下报错:BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word这是由于系统会对新密码进行检查,如果系统觉得新密码过于简单或不安全,系统就会报错。如果想继续使用简单的密码,通常可以通过更改/etc/pam.d/sysyst...
cas client入门之一:cas client分类
snoopy
06-02 6061
cas client有多种语言实现,cas client主要分为以下几种: 1.官方客户端 主要实现有java client,.net client,php client等 2.遗留的客户端 主要是cas client2.0版本,另外还有pl/sql client,python clientpam_cas client, asp client,perl client等 3.正在开发的
pam-devel-1.1.1-24.el6.x86_64.rpm
09-25
pam-devel-1.1.1-24.el6.x86_64.rpm 适用RadHat 6.5 在离线环境下升级Openssh至7.6P1
pam-MySQL-master.zip
11-29
pam-mysql模块,是用于基于mysql数据库的信息来进行pam模块统一认证的工具包,可以实现vsftp的认证的功能
MINI-PAM操作手册.pdf
01-22
200703-MINI-PAM荧光仪操作手册
pam-biometrics
03-25
pam_biometrics 用于Touch ID和Face ID身份验证的PAM模块。选项争论描述超时=秒设置身份验证提示的超时提示=文字设置提示文字disableonssh 在SSH环境中禁用模块allowwatch 允许Apple Watch身份验证(仅适用于macOS)...
Fabric-CA Client客户端命令详解
水上铁的专栏
05-25 2264
Hyperledger Fabric 证书颁发客户端的命令使用说明 客户端的主命令 用法: fabric-ca-client [command] 可用命令: affiliation 管理附属关系 certificate 管理证书 enroll 登记身份 gencrl 生成CRL gencsr 生成CSR getcainfo 获取CA证书链和idex公钥 identity 身份管理 reenroll 重新登记身份
Fabric-CA-Client常用命令及注册新账户步骤
Mark的博客
02-23 5722
一、常用命令及例子 fabric-ca-client主要子命令 fabric-ca-client用来管理身份(包括属性管理)和证书(包括续订和回收)。主要子命令如下: affiliation:管理分支机构 certificate:管理证书 enroll:认证一个账号 gencrl:撤销证书?(生成一个CRL) gencsr:创建证书签名(生成一个CSR:Certificate Signing R...
linux的PAM认证和shadow文件中密码的加密方式
海阔天空
03-18 2909
它是一种统一的认证方案。PAM 让您能随时改变您的认证方法以及需求,并且不需要重新编译任何代码就封装了所有本地认证方法。具体见 PAM 网站。 对于 PAM 您只需要做: 对您的密码采用不同于 DES 的加密方式(让它们面对暴力解码(brute-force decode)时更为坚固)。 对您所有用户使用资源限额,以防止他们进行拒绝服务(denial-of-service)攻击
pam密码复杂度设置
热门推荐
black_yu的博客
12-06 2万+
pam密码复杂度设置 1.安装libpam_cracklib      系统对密码的控制是有两部分组成:      1 cracklib       2 /etc/login.defs      apt-get install lib_cracklib或者下载两个deb包:cracklib-runtime     libpam_cracklib      可以通过查找pam_c
一起写PAM(一)
Sunwind的专栏
07-06 4098
开始学着写PAM了,一值期盼在*nix下做些东西,之所以期盼是因为这里没有神秘的窗户纸,前段时间做windows下的安全开发(当然是初级的),也许是信息检索能力的欠缺吧,想找到一些有用的东西是那么艰难,很多时候查找资料花费了好几天最后一两行代码解决了问题.最让我疑惑的是能解决问题
PAM auth with program supplied password
10-15 3932
PAM Authentication with program supplied username / password pair.In cases like "login" and "sudo", the use of PAM involves asking user for password on the terminal. This is a feature provided by the
SSH无法连接服务器
anshejd70787的博客
05-27 1366
服务器版本如下: @kelWEB4:/etc# lsb_release -a LSB Version: :core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch Distributor ID: RedHatEnter...
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 976
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
linux-pam-1.3.1.tar
09-17
linux-pam-1.3.1.tar是一个Linux系统中的PAM(Pluggable Authentication Modules,可插拔身份验证模块)软件包。PAM是一个用于管理和实现身份验证的系统库,用于处理用户的登录、访问控制和权限管理。 该软件包中的tar文件是一个压缩包,可以通过解压缩获得其内容。从源代码级别来看,该软件包里包含了PAM的相关源代码、库文件和相关的文档。 Linux-PAM是一个开源项目,旨在为Linux系统提供可插拔身份验证模块的框架。它使得系统管理员可以根据特定的需求和要求自定义身份验证方式。这些模块可以控制用户密码的安全性、用户账号访问机制以及其他用户身份验证参数,保证系统的安全性和可控制性。 通过编译和安装该软件包,系统管理员可以实现更灵活和安全的用户身份验证。这对于保护系统资源和敏感信息非常重要。该软件包还提供了详细的文档和示例,以帮助用户了解和使用PAM的功能。 总而言之,linux-pam-1.3.1.tar是一个开源的PAM软件包,提供了可插拔身份验证模块的框架,并通过自定义身份验证方式提高了Linux系统的安全性和可控制性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值