补充: SSL 是通讯链路的附加层是一种国际标准的加密及身份认证通信协议,可以包含很多协议。https, ftps,…;
SSH 只是加密的shell,最初是用来替代telnet的;
OpenSSL 一个C语言函数库,是对SSL协议的实现。openssl 中也有个叫做 openssl 的工具,是 openssl 中的库的命令行接口。
OpenSSH 是对SSH协议的实现。openssh依赖于openssl,没有openssl的话openssh就编译不过去,也运行不了。
telnet和openssh
1.CS架构:指服务的实现是在应用层中通过client(客户端)和server(服务器端)的架构实现的。这种架构与底层系统没有关系,所以客户端可以是windos、linux、unix等等
2.超级守护进程(例如xinetd):好多进程例如telnet不经常被使用,但是万一有人来访问就需要一直监听他的端口,为了防止资源浪费可以用一个超级守护进程进行托管帮助监听若干这样的端口而不用启动对应服务,一旦有人访问服务超级守护进程就会把对应的端口号的进程启动开来。
3.telnet
(1)安装包
(2)启动
(3)命令
远程登陆:telnet IP
测试端口:telnet IP port
4.ssh
(1)ssh 远程步骤:
①三次握手
②认证主机(证明主机身份) 一般会事先保存服务器端的公钥,服务器端用私钥加密,然后客户端可以用公钥解密就能验证服务器端身份
注意:客户端首次远程时因为客户端没有事先保存服务器端公钥,就会提示是否接受此服务器端,一旦选择接受就意着会把服务器端公钥保存在客户端上面的家目录下的.ssh/known_hosts 中
③基于公钥基础,双方协商加密算法
④服务器端发送登陆提示符给客户端
⑤加密方式进行传输数据
(2)还可以通过公钥免密登陆
(3)
(4)客户端命令的简单用法
① 
例:不用登陆客户端执行命令hostname命令
免交互生成密钥对:
②
③
(5)服务器端
(6)
(7)ssh 协议的另一个实现:dropbear
①源码安装(需要开发环境)
解压 进入drobear目录
less INSTALL
./configure
②用法
dropbear -h 获取帮助
dorpbearkey -h 生成密钥帮助
生成主机密钥
dropbear -p :2202 指明端口并启动服务
ssh -p 2202 root@172.16.100.6 客户端远程连接测试,然后
pstree可以查看是否运行在dropbear上
③dropbear的客户端用法
dbclient -h 获取帮助信息
dbclient root@172.16.100.9
openssl关于私有CA的创建与使用
2.PKI:是现代互联网安全基础得以实现的最根本保证
组成: CA 发证机构
RA 注册机构
CRL吊销机制
证书的存取库
3.建立私有CA:
工具:OpenCA(是openssl的二次封装版)
openssl
步骤:
相关操作:
(1)创建文件和目录
(2)生成自签证书
①生成CA的私钥文件:
②利用openssl命令req提取公钥并生成CA 的自签证书
(3)发证
4.httpd 提供https加密的访问请求
(1)对于httpd服务端
cd /etc/httpd
mkdir ssl
cd ssl
创建httpd的私钥文件
(umask 077; openssl genrsa -out httpd.key 2048)
用这个私钥提取的公钥生成httpd证书请求
(注意由于是私有CA,所以生成的请求信息需要跟私有CA颁发机构的信息一致)
opensll req -new -key httpd.key -days 365 -out httpd.csr
然后把请求发给CA让CA验证并签一下
SCP拷贝到CA服务器上(私有的为了实验所以比较随意,真正的可以通过相关面板进行上传并签证)
(2)对于CA服务器
对请求httpd.csr进行签证
openssl -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365
把已签证的证书httpd.crt发还给httpd服务器
scp httpd.crt
查看证书中的信息
openssl x509 -in /PATH/FROM/CERT_FILE(表示从哪读取) -noout -text(输出所有信息)|-subject(输出主体信息)|
-serial(证书序列号)
(3)对于http服务器端,还需要开启ssl功能需要安装ssl模块
yum -y install mod_ssl
编辑配置文件
vim /etc/httpd/conf.d/ssl.conf
①修改默认网页位置(可以通过443端口访问httds也可以通过80访问http)
② 把默认虚拟主机修改为本地虚拟机地址
例 < VirtualHost default:443> 👉 <VirtualHost *:443>
③修改证书文件位置
④修改私钥位置
(4)测试
例1:
例2:在windos中把证书考到本地修改后缀名 比如 cacert.pem修改为cacert.crt 双击安装在受信任的根证书颁发机构里面
然后需要修改windos的hosts文件对应的映射关系
5.吊销证书
6.http与https数据传输过程对比
7.
套按字及http基础知识
1.定义:
资源子网:(上三层协议)运行在用户空间
通信子网:(下四层协议)运行在内核空间
设备驱动程序和硬件:提供物理地址(MAC),进行设备地址通信
网络层:提供主机地址(IP) ,进行主机地址通信
传输层:提供进程地址(端口),进行进程之间通信
TCP:面向连接的协议,主机间建立连接后才发送数据进行通信
0-65535
UDP:无连接的协议,无论主机在不在线都会把数据扔到网络中
0-65535
IANA:国际端口地址分配机构
IPC:进程间通信
Socket(套接字):IPC的一种实现,允许位于不同主机(甚至同一主机)上不同进程之间通信、数据交换、进行系统调用
封装好的Socket API,是IP和端口的组合
有三类套接字:
SOCK_STREAM:tcp套接字
SOCK_DGRAM :udp套接字
SOCK——RAW :裸套接字(直接封装IP进行通信而不通过TCP、UDP协议)
2.TCP协议的特性
建立连接:三次握手
将数据打包成段:校验和(CRC-32)
确认、重传以及超时
排序:逻辑序号
流量控制:滑动窗口算法(比如每秒接受接受2KB数据还剩1KB窗口,发送发就会多1KB的发送速度,如果窗口关闭就不会
过多发送数据,未防止数据发送过快,接收过慢导致溢出)
拥堵控制:慢启动(从少到多慢慢增加发送速度至上线) 拥塞避免算法(发现拥堵会减少发送速度)
3.Socket Domain(套接字域):根据其所使用的IP地址
4.
http协议
1.http协议:超文本传输协议 TCP/80 端口
开发语言:
①html:超文本标记语言
超文本:由html编程语言开发出来的文本叫做超文本,(同超链接)点开超文本标记语言会打开一个新文本
②css:设计网页的表现样式,对页面起一定的布局作用。
③js:JavaScript控制网页的行为(效果),是一种动态脚本语言。
④MIME(多用途互联网邮件扩展类型):是描述消息内容类型的因特网标准,消息能包含文本、图像、音频、视频
以及其他应用程序专用的数据,因而能够实现基于文本传输协议实现非文本(多媒体)数据传送。
2.
3
419
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
