加密解密及CA
加密方式:
对称加密、公钥加密、单向加密
加密、解密
明文:plaintext,cleartext -->密文 -->
对称加密:
加密算法+口令
明文 --> 密文
字典攻击
加密方,解密方使用同一个口令
DES(56bits):数据加密标准
3DES
AES(128bits):高级加密标准
Blowfish
Twofish
IDEA
RC6
CAST5
Serpent
特性:
1.加密/解密使用统一口令
2.将原文分割成固定大小的数据块,对这些块进行加密
ECB,CBC
1.口令传输
2.密钥太多
密钥交换:
用户认证:
数据完整性:
密钥交换(IKE:Inernet Key Exchange):DH算法
非对称加密
加密算法:RSA,EIGmal,DSA
1.密钥交换
2.用户身份认证
单向加密:
抽取数据特征码:
MD5,SHA1,SHA512,CRC-32(循环冗余校验码)
1.完整性,
消息认证算法:MAC(Message Authenntication Codes)
CBC-MAC
HMAC
雪崩效应
定长输出:
PKI:Pubile key Infrastucture 公钥基础设施
openssl gpg
openssl:套件,开源软件
libcrypto:通用功能的加密库
libssl:用于实现TLX/SSL的功能
openssl: 多功能命令工具
生成密钥,创建数字证书,手动加密解密数据
加密解密技术常用的功能及算法:
对称加密:
工具:gpg openssl enc
加密:openssl enc -des3 -a -salt -in /ets/fstab -out /tmp/fstab.cipher
解密:openssl enc -d -dec3 -a -salt -in /tmp/fstab.cipher -out 文件
单向加密:
特性:One-Way
Collision-free:
算法
md5:128bits
sha1:160bits
sha512:512bits
工具:sha1sum,md5sum,openssl dgst
openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1][-out filename] /path/to/somefile
MAC:信息摘要码,单向加密的延伸应用
应用:用于实现在网络通信中保证所传输的数据完整性
机制:
CBC-MAC
HMAC:使用md5和sha1算法
用户认证:
工具:passwd openssl passwd
公钥加密:公钥加密,私钥解密
密钥对:
公钥:pkey
私钥:skey
算法:RSA,EIGamal
工具:gpg openssl rsautl
数字签名:私钥加密,公钥解密
算法:RSA,EIGamal,DSA
DSA:Digital Signature Algorithm
DSS: Digital Signature standard
密钥交换:IKE
算法:DH(Diffie-Hellman),公钥加密
数字证书:
第三方机构使用一种安全的方式把公钥分发出去
证书格式:x509,pkcs家族
x509格式:
公钥和有效期限:
持有者的个人合法身份信息;(主机名)
证书的使用方式
CA的信息
CA的数字签名
谁给CA发证:自签署证书
用openssl实现私有CA
服务器端:
1.配置文件/etc/pki/tls/openssl.cnf
(centos 5 需要更改)
2.生成密钥对儿:
# (umask 077; openssl genrsa -out private/cakey.pem 2048)
如果想查看公钥:
# openssl rsa -in private/cakey.pem -pubout -text -noout
3.生成自签证书
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
4.创建需要的文件:
# touch index.txt serial crlnumber
5.接收到客户端的信息后
1)CA签署证书
签署:# openssl ca -in /path/to/somefile.csr -out /path/to/somefile.crt -days DAYS
2) 将证书传回请求者
##吊销证书:
# openssl ca -revoke /path/to/somefile.crt
客户端端:
用openssl实现证书申请:
1.在主机上生成密钥,保存至应用此证书的服务的配置文件目录下, 例如:
# mkdir /etc/httpd/ssl
# cd /etc/httpd/ssl
# (umask 077; openssl genrsa -out httpd.key 1024)
2.生成证书签署请求:
# openssl req -new -key httpd.key -out httpd.csr
3.将请求文件发往CA;
openssl补充材料:
openssl中有如下后缀名的文件
.key格式:私有的密钥
.crt格式:证书文件,certificate的缩写
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
常用证书协议
x509v3: IETF的证书标准
x.500:目录的标准
SCEP: 简单证书申请协议,用http来进行申请,数据有PKCS#7封装,数据其实格式也是PKCS#10的
PKCS#7: 是封装数据的标准,可以放置证书和一些请求信息
PKCS#10: 用于离线证书申请的证书申请的数据格式,注意数据包是使用PKCS#7封装这个数据
PKCS#12: 用于一个单一文件中交换公共和私有对象,就是公钥,私钥和证书,这些信息进行打包,加密放在存储目录中,CISCO放在NVRAM中,用户可以导出,以防证书服务器挂掉可以进行相应恢复。思科是.p12,微软是.pfx
ssh:Secure SHell
监听tcp协议的22号端口
/etc/services 解析库,进程<->端口
ssh文本协议:字符通信
sshv1,sshv2
由于sshv1是居于CRC-32做MAC,因此,不安全,建议勿用
sshv2 基于双发主机协商选择最安全的MAC实现机制
加密机制和MAC机制是双方协商选定
基于DH实现密钥交换,基于RSA或DAS实现身份认证
客户端通过检查服务端的主机密钥来判断是否与其进一步通信
OpenSSH(C/S)
Server:监听tcp22
Client:程序
windows客户端:xmanager(xshell)、SecureCRT、putty、sshshellcilent
openssh客户端组件:
ssh
ssh Username@HOST [command]
ssh -l Username HOST [command]
-p port:指定要连入端口
ssh认证机制:
基于口令
基于密钥
客户端在本地生成一对密钥
客户端将公钥复制到服务器,要登陆的用户的家目录下的隐藏目录.ssh中的一个名为authorized_keys或authorized_keys2中
配置过程:
1.生成密钥对,客户端
ssh-key -t rsa
生成的密钥默认保存至当前家目录下的.ssh下的id_rsa,公钥在id_rsa.pub
文件中
2.复制密钥至远程主机:
ssh-copy-id -i 公钥文件 登陆用户@远程ip地址
相关配置文件:
配置文件 /etc/ssh/sshd_config
服务脚本 /etc/rc.d/init.d/sshd
脚本配置文件:/etc/sysconfig/sshd
查看config文件的帮助
man sshd_config
ListernAddress 当前主机的监听地址
Protocol 协议版本
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
验证主机的公钥
#KeyRegenerationInterval 1h 密钥的使用时间
#ServerKeyBits 1024 密钥长度
#LogLevel INFO 日志级别
#LoginGraceTime 2m 登陆宽限期
#PermitRootLogin yes root是否可以登录
#StrictModes yes 严格模式,家目录 属主 属组
#MaxAuthTries 6 最多可以承受的次数
#MaxSessions 10
最大的连接数
PasswordAuthentication yes 是否使用用户名和密码的方式
Kerberos集中认证管理
X11Forwarding yes 是否转发图形窗口
AllowUsers user1 user2
用户白名单
Allowgroups 组白名单
DenyUser 用户黑名单
###使用ssh的最佳实践
1)only use ssh protocol 2
2)limit users SSh access
Allowusers root vivek jerry
白名单
denyUser saroj anjali foo
黑名单
3)configure Idle Log out timeout Interval 配置空闲超时长。
ClientAliveCountMax 300
ClientAliveInterval 0
4)Firwall SSH Port # 22
使用iptables设置ssh服务安全访问策略
5)change ssh port and Limit IP binding
port 300
Listaddress 192.168.1.5
ListenAddress 202.54.1.5
勿使用默认22端口
6)use Strong SSH passwords and passphrase
genpasswd(){
local 1=$1
[ "$1" == "" ]&& 1=20
tr -dc A-Za-z0-9_</dev/urandom | head -c ${1} | xargs
}
使用足够长足够复杂的密码,且定期更换。
7)use Public key Based AUthentication
使用公钥认证。
8)disable Empty password
9)thwart ssh crakers (Brute Force attack)
google:ssh best practice
10)rate-limit incoming port # 22 COnnections
限制ssh访问频度
11)use log analyzer
记录好日志,经常做日志分析。
scp:类cp命令,基于ssh协议跨主机复制
scp SRC1 SRC2 …. DEST
分两种情况:
1.源文件在本机,目标为远程
scp /path/to/somefile .... Username@HOST:/path/to/somewhere
2.源文件在远程,目标在本机
scp Username@HOST:/path/to/somefile /path/to/somewhere
-r:当源文件为目录,以实现递归复制
-p:保留源文件的复制及修改时间戳,以及权限
-q:静默模式
-P PORT:指定服务器端口
sftp:是基于ssh的ftp协议
只要OpenSSH的服务器端有以下项,则代表支持sftp
Subsystem sftp /usr/libexec/openssh/sftp-server
用法: sftp[username@]HOST
用户登录信息获取
/var/log/wtmp:显示用户最近一次的登录信息,成功的 last
/var/log/btmp:显示用户登录的信息,并尝试失败的 lastb
lastlog:每个用户最近一次成功登陆的信息
bash编程的信号捕获
trap 陷阱
trap ‘command’ signal
kill -l
KILL无法捕捉
信号捕捉用于:在中途中止时做一些清理操作
使用失列
#!/bin/bash
#
Clean(){
echo "quit"
return 5
}
tarp 'echo "quit"; eixt 5' IN
for i in {1..254};do
if ping -w 1 -c 1 172.16.254.$i $> /dev/null;then
echo "172.16.254.$i is up"
else
echo "172.16.254.$i is down"
fi
done