快捷搜索:
来自 67677新澳门手机版 2019-08-18 06:21 的文章
当前位置: 67677新澳门手机版 > 67677新澳门手机版 > 正文

67677新澳门手机版:加密和安全,安全和加密

作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或

接收者

-K 与-k类似,还要删除时间戳文件

在hostA主机上导出公钥到wang.pubkey

 

scp fstab.gpg hostA: v

 将本地多个文件批量复制到/app/目录

在数据的最后(data)累加一个字符串,对这个数据做个hash运算,得出一个摘要值,然后在外层用A的私钥加密(签名)Sa[hash(data)]可忽略不计,签名完了以后在最外面来一个加密用B的公钥,然后发送给B,用B的私钥去解密

4:[root@centos6 ~/.gnupg]# gpg --list -keys (查看生成的公钥)

实现加密:

 示例7

实现数字签名:主要在于让接收方确认发送方身份

"s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config"

echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

Denial of Service 拒绝服务DDOS攻击 ping -f(尽对方cpu所能去ping对方)-s 34428 5 ddos"分布式攻击",网络黑客发送大量的访问请求,耗尽资源,网络对方无法进行服务

如果不相等为不对称加密

 以逗号或空格分隔的应用程序文件名列表,如:sshd,vsftpd

现有两个通讯双方A和B。A给B发送数据

[-t timeout] [-O options] [-x args] [-X arg] local remote

如何解密呢:先用B的秘钥将key这个钥匙拿到手,拿到key后就可以解开key{data Sa[hash(data)]}这个数据,得到这个数据后,如何让确认数据的来源呢,用A的公钥解密后得到[hash(data)]然后用相同的hash算法再次的运算,

 

1、密钥过多

 MaxSessions 10 同一个连接最大会话

1、加密、解密使用同一个密钥,效率高

改变权限,如:[root@centos7 /data]# ( umask 066 ; openssl genrsa -out test4.key 1024 )

使用接收者的公钥来加密消息M

-p 改变询问密码的提示符号

3、数据来源无法确认

对称加密:加密和解密使用同一个密钥 key1=key2

file file.gpg

69f52e22db64aaec6131513ff9fcb41791d80e80 fstab 16进制数

现有两个通讯双方A和B

(runas):以哪个用户的身份

方法2:

基于用户和口令登录验证

6、

 

DES:Data Encryption Standard,56bits

• 固定长度输出

(umask 066; openssl genrsa -out private/cakey.pem 2048)

 

A---->B

指定第一个吊销证书的编号,注意:第一次更新证书吊销列表前,才需要执行

(umask 066; openssl genrsa -out private/test.key 2048)

 

(umask 066; openssl genrsa -outprivate/cakey.pem2048)当CA必须放到这个文件

ignore 结果忽略,不影响最后结果

公钥加密:密钥是成对出现Ø

 

分离签名

11:[root@centos6 ~]#gpg -o -d fstab.gpg 解密生成文件

md5sum | sha1sum [ --check ] file

 

openssl ca -in /tmp/test.csr –out certs/test.crt -days 365

当用firefox访问internet时,本机的1080端口做为代理服务器,firefox的访问

gpg --delete-secret-keys wangxiaochun

 sudo [-u user] COMMAND

4、CA签署证书,审核信息,并将证书颁发给请求者

证书类型:

子CA给客户端颁发证书

              -days n:证书的有效期限

gpg -d file.gpg gpg -o file -d file.gpg v

pssh -H root@192.168.1.10 -i "sed -i

非对称加密算法

PAM认证机制

每个人都有两把钥匙(公钥和私钥)A(公钥Pa,私钥Sa)

发送给接收者S(M)

gpg --gen-key v

        B 将证书请求文件传输给CA

发送给接收者S(M)

客户端Client_list格式

un:'�n����_

3、颁发证书

touch /etc/pki/CA/index.txt 生成证书索引数据库文件

(1) ulimit命令,立即生效,但无法保存

1、创建所需要的文件

-L 指定从远程主机下载到本机的存储的目录,local是下载到本地后的名称

发送者

1握手阶段(协商阶段):客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书 进行身份认证),并协商通信中使用的安全参数、密码套件以及主密钥。后续通信使用的所有密钥都是通过MasterSecret生成。

私钥:自己留存,必须保证其私密性;secret key v

公开公钥P,保密密钥S

用对称加密算法,非对称加密算法和hash算法实现数据加密,实现数据来源确认,同时提高效率

 

使用密钥S来解密:M=S(P(M))

-a 存档,相当于–rlptgoD,但不保留ACL(-A)和SELinux属性(-X)

openssl req -new -key /etc/pki/tls/private/test.key  -out etc/pki/tls/test.csr

%s 服务器端信息

2、还是一样申请证书

while read line;do

创建CA和证书申请

基于密钥的认证:

用密钥对中的一个加密,另一个解密v

openssl rsa –in test.key –pubout –out test.key.pub

数字签名:主要在于让接收方确认发送方身份Ø

<item> 限制的资源

生成公钥/密钥对:P和S

任何事都没有表面看起来那么简单

echo 01 > /etc/pki/CA/serial

决定下一个动作(重新输入密码或者通过验证)

5、

• 否则运行ssh-agent bash

缺点:密钥长,加密解密效率低下v

5:允许实现对远程系统经验证地加密安全访问

v特性:

• 10、mkdir /etc/dropbear

数据需要加密

它提供了对所有服务进行认证的中央机制,适用于login,远程登录

接收者

                 openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365

给子CA颁发证书(申请过程是一样的)

pam认证原理

在hostA主机上查看公钥

2 Tampering 篡改 (发邮件给tom mail -s test tom .或者ctrl d保存退出邮件,,)

使用gpg工具实现公钥加密

openssl ?

对称密钥交换:发送方用对方的公钥加密一个对称密钥后发送给对方Ø

功能: 数据完整性检验

在hostB主机上用公钥加密,在hostA主机上解密 v

对有状态连接的特定服务进行安全检测并实现访问控制

生成公钥/密钥对:P和S

eg:[root@centos7 ~/data]# openssl enc -e -des3 -a -salt -in fstab -out fstab.des3

公钥:公开给所有人;public key Ø

PAM认证机制

A---->B

DH:

任意长度输入

Sca(Pserver) CA server expir (证书签名,包括CA的证书,有效期之类的)

5、最后将证书发给客户端

-f 后台启用

基于一对公钥/密钥对

 将本地目录批量复制到/app/目录

5发送证书给客户端

SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是,SSH

touch /etc/pki/CA/index.txt

eg:[root@centos7 /data]# cat /dev/urandom |tr -dc 'a-zA-Z0-9' |head -c8

A[Pb(data)]=data’对A发送的数据加密

ssh服务器

单向散列

从CA处接收签名

方法1:

3:[root@centos7 /data]# gpg -c fstab 加密数据

给客户端颁发证书

4、获取证书

先切换目录到cd /etc/pki/CA/

-v:调试模式

scp wang.pubkey hostB:

 

1、还是先生成私钥

用法和传统的ftp工具相似

scp certs/app.crt 172.18.77.6:/etc/pki/tls/certs

-L 将软链接文件指向的文件复制

Pb{data Sa[hash(data)]}

[!wxc]:除了这三个字符的其它字符

gpg --list-keys

当不支持ssh的key认证时,通过 -A选项,使用密码认证批量执行指令

gpg --delete-keys wangxiaochun

建议:编辑pam规则时,保持至少打开一个root会话,以防止root身份验证错误

gpg --gen-key v

 设定空闲会话超时时长

在hostB主机上导入公钥

2、RA核验

key{data Sa[hash(data)]} Pb(key)

在本机firefox设置代理socket proxy:127.0.0.1:1080

2、生成证书申请文件

 

在hostA主机上生成公钥/私钥对

-C: 压缩数据流

固定长度输出

[root@centos6 ~]#cat hostlist.txt

数据来源的确认,A给B发送数据,想要确定是A发的,就要A用自己的私钥加密,然后发送给B,B接收到数据后,用A的公钥来解密。

生成公钥/密钥对:P和S

Sb(data’)用B的私钥解密

2: B用自己的公钥解开key得到: (data Sa{hash(data)})

1、还是生成私钥

 -l:登录使用的用户名

删除公钥和私钥

基于网络组(NIS 域):@mynetwork

v对称加密:加密和解密使用同一个密钥

 

openssl ca -in subca.csr –outcerts/sub.crt-days 365

 

3、生成自签名证书

跳过第一步,先执行第二步,看看它会如何报错,具体步骤如下

A需要加密数据为key1(data)=data’加密后的数据

<type> 限制的类型

对称加密算法

 限制可登录用户

IDEA,RC6,CAST5

Banner /path/file

A发数据,用B的公钥去加密,加密后的数据发送给B,B用自己的私钥解密

 示例

1、

 示例3

结合签名和加密v

<domain> <type> <item> <value>

公开公钥P,保密密钥S

command: 运行哪些命令

若修改数据,指纹也会改变(“不会产生冲突”)

进行下面的数据比较得到数据完整性的校验

功能:数据完整性

 

4、颁发证书

twist 实际动作是拒绝访问,使用指定的操作替换当前服务,标准I/O和ERROR

scp certs/sub.crt 172.18.77.6:/etc/pki/CA/cacert.pem

/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证

gpg --import wang.pubkey gpg --list-keys v

限制可登录用户的办法:

公开公钥P,保密密钥S

利用ssh服务实现安全的文件上传和下载

gpg --list-keys v

根据报错,创建index.txt文件,发现依旧报错,缺少serial文件

缺陷:

Email address: (邮箱)

常见算式md5: 128bits、sha1: 160bits、sha224 sha256、sha384、sha512 v 常用工具

对称加密

用从hostA主机导入的公钥,加密hostB主机的文件file,生成 file.gpg

man –k pam_

实现数据加密,实现数据来源确认,同时提高效率

 

发送者

的来源,如果两者数据一样。,那就确认数据包的来源是A

3、申请证书

 

B需要解密数据key2(data’)=data解密后的数据

3 格式:ssh [user@]host [COMMAND]

2、将原始数据分割成固定大小的块,逐个进行加密v

vim /etc/pam.d/login

4、

dropbear -p :2222 #后台运行

数据来源确认

配置文件规则有两类;

3、复制给子CA

(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:

openssl req -new -x509 –key private/cakey.pem -days 7300 -out cacert.pem

Alias_Type NAME1 = item1, item2, item3 : NAME2 = item4, item5

将任意数据缩小成固定大小的“指纹”

⑧ 把颁发好的证书传给客户端centos6,让它使用

所谓对称加密意思就是key1=key2他们的秘钥相同

[wxc]:匹配其中一个字符

使用密钥S来加密消息M

Hard 硬限制,由root用户设定,且通过kernel强制生效

跟上述方法类似,在对data Sa[hash(data)]进行对称加密,然后最后在加上这个秘钥(key)用B的公钥

67677新澳门手机版 1

自己给自己颁发证书

ssh-add

2、先生成私钥

 Port

功能:Ø

加密 SSH Client 端至 SSH Server 端之间的通讯数据

openssl req -new–keyprivate/cakey.pem -out subca.csr

 

实现数据加密,隐私

远程转发:

RSA(加密,数字签名),DSA(数字签名),ELGamal

PAM模块示例

gpg -a --export -o wang.pubkey v

 

hash(data)=[hash(data)]如果这两个摘要值相同就说明是同一个人加密的。

application type control module-path arguments

scp subcsr.csr 172.18.77.7:/etc/pki/CA

cp /etc/fstab /app/f1/

A---->B

 

接收者

EXCEPT用法:

data---加密Sa(data)=data'----> 解密Pa(data')=data

DES:Data Encryption Standard(数据加密标准),56bits(56位)

在需加密数据的hostB主机上生成公钥/私钥对

67677新澳门手机版 2

使用发送者的公钥来解密M=P(S(M)) v

        A 在需要使用证书的主机生成证书请求,在centos6上充当客户端申请证书

scp test.csr 172.18.77.7:/etc/pki/CA

 

AES:Advanced (128, 192, 256bits) Blowfish,Twofish

使用发送者的公钥来解密M=P(S(M))

数据加密:适合加密较小数据v

请求被转发到sshserver上,由sshserver替之访问internet

将P(M)发送给接收者

 

3DES:

 将本地curl.sh 复制到/app/目录

算法:

TLS: Transport Layer Security

特点:用公钥加密数据,只能使用与之配对的私钥解密;反之亦然

 

2、密钥分发

wang ALL=(ALL) /bin/cat /var/log/messages*

2、

pscp.pssh -H 192.168.1.10 /root/f1.sh /root/f2.sh /app/

Data(明文)------>data’(密文)

专用配置文件/etc/pam.d/* 格式

无法从指纹中重新生成数据(“单向”)

PAM认证机制

gpg -e -r wangxiaochun file

 

从hostA主机上复制公钥文件到需加密的B主机上

墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的,

3、复制test.csr给根CA

#auth required pam_securetty.so #将这一行加上注释

复制加密文件到hostA主机

-rw-r--r--. 1 root root 541 Jul 9 21:23 fstab

在hostA主机解密文件

日志文件:/var/log/secure

容,并拒绝登陆

 基本语法:

sudo别名和示例

5:[root@centos7 /data]# scp fstab.gpg 192.168.1.8: 发送加密的数据到另一主机

 比scp更快,只复制不同的文件

-Y:支持信任x11转发

如:pam_shells.so、pam_limits.so

echo "$ip is finished"

SSH 端口转发能够提供两大功能:

2、限制只有admins组内的用户可ssh到本机

"yes/no" { send "yesn";exp_continue }

%p 守护进程的PID

别名有四种类型:User_Alias, Runas_Alias, Host_Alias ,Cmnd_Alias

Password:

openssl passwd -1 -salt SALT(最多8位) # -1是基于MD5加密算法

1 SSL(SSL协议: 安全套阶层): Secure Socket Layer

PAM模块示例

sudo示例

man pam_shells

 

 

/usr/bin/passwd [a-zA-Z]*, !/usr/bin/passwd root

Soft 软限制,普通用户自己可以修改

awk '/Failed password/{ip[$(NF-3)] }END{for(i in ip){if(ip[i]>5){system("iptables -A INPUT -s " i " -j REJECT")}}}' /var/log/secure

安全通信

在/etc/hosts.allow中添加,允许登录,并记录日志

NETADMIN ALL=(root) NETCMD

A:生成隐私数据 :a (a<p ),计算得出 g^a%p,发送给B

192.168.30.7 root centos

}

 检查顺序:hosts.allow,hosts.deny(默认允许)

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o(0确定)

可运行的进程数量,可用内存空间

RSA(加密,数字签名) DES 加密1G数据 加密完2G 4m 8m

 

* 所有用户

scp"

证书存取库

OpenSSH介绍

 -h:主机文件列表,内容格式”[user@]host[:port]”

                openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out etc/pki/tls/test.csr

 

在SecureCRT工具—>创建公钥—>生成Identity.pub文件

openssl ca -gencrl -out /etc/pki/CA/crl.pem

Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个

eg:创建10个账号,每个账号有随机口令

Runas_Alias OP=root

 Users和runas:

通过pssh批量关闭seLinux

rpm -qd pam

特性:

1 Spoofing 假冒 (钓鱼网站,可以通过看域名辨别)

6 缺省使用安全模式:考虑使用SElinux

 

 

 

 

相对路径:

 

 

在hostA主机上生成公钥/私钥对

更新数据库

使用密钥S来加密消息M

 

apache – nofile 10240 apache用户可打开10240个文件

算法:RSA, ELGamal

 

ls file.gpg

DSS:Digital Signature Standard

《The Linux-PAM System Administrators' Guide》

示例1:

 

SSH端口转发

sshd: ALL :spawn echo "$(date %%F) login attempt from %c to

证书获取

vsftpd,in.telnetd: 192.168.1.

模块:pam_limits.so

openssl rsa -in test.key –out test2.key 将加密key解密 取消口令

 

3、数据来源无法确认:(可能会收到假冒的加密数据)

67677新澳门手机版 3

客户端访问:

11:生成密钥对儿:man genrsa

 

(umask 077; openssl genrsa –out test.key –des 2048) ( –des 2048对私钥进行加密)

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

测试工具:

2 应用阶段:在握手阶段完成后进入,在应用阶段通信双方使用握手阶段协商好的密钥进行安全通信

 

ClientAliveInterval:单位:秒

以库文件形式实现

数字签名:主要在于让接收方确认发送方身份

MD5(fstab)= ea10eb7312d3130f651eef33b184e79f

 

某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对

Whitfield Diffie)和马丁·赫尔曼(Martin Edward Hellman)在1976年发表,参

HTTPS 协议:就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP overSSL”或“HTTP over TLS”,对http 协议的文本数据进行加密处理后,成为二进制形式传输

DISKADER ALL=(OP) DSKCMD

• GPG公钥签名

done 模块通过,返回最后结果给应用

chkconfig ntpd on

致灾难,则必定有人会做出这种选择

(CentOS7默认是ssh_host_ecdsa_key.pub)文件中的公钥到客户机的~./ssh/know_hosts中。下次连接时,会自动匹配相应私钥,不能匹配,将拒绝连接

 

 PubkeyAuthentication yes

 选项:

实验:aide实现安全监控

• 2、下载dropbear-2017.75.tar.bz2

Cmnd_Alias

pam_limits.so

centos5上:1:useradd wang 2:su - wang

生成私钥

1、加密、解密使用同一个密钥,效率高,适合加密大量的数据

 经常分析日志

限制用户最多打开的文件数和运行进程数

• AIDE(Advanced Intrusion Detection Environment)

Alert 协议:对握手协议中一些异常的错误提醒,分为fatal和warning两个级别,fatal类型错误会直接中断SSL链接,而warning级别的错误SSL链接仍可继续,只是会给出错误警告

module-path 用来指明本模块对应的程序文件的路径名

 

键盘和鼠标,块设备中断

场券”

 

dropbear:另一个开源实现

OpenSSL

Arguments 用来传递给该模块的参数

%c 客户端信息

auth required pam_shells.so

 

当访问本机的9527的端口时,被加密后转发到sshsrv的ssh服务,再解密被转发到

3:用A的公钥解密得到hash(data) 再用原数据data做hash运算两者进行比较,确定数据

2:具体的软件实现:

 

username

判断服务程序是否能够由tcp_wrapper进行访问控制的方法:

Base64:A-Z a-z 0-9 / 共64位

CRL

6:[root@centos6 ~/.gnupg]#scp wang.pubkey 192.168.56.56: (传到centos7)

1、创建所需要的文件

centos7

4:dgst命令:

就允许免密码登录

6 Elevation of Privilege 提升权限(把普通用户的权限设置为管理员权限)

7:client

PAM:Pluggable Authentication Modules

PAM认证机制

PSCP.PSSH命令

3、CA签署

 

查看证书状态

RA

练习

12345(data)《-----》 服务器端和客户端共同获得12345,以此传输数据

• 接收者

用户证书 (用户用)

加密及解密服务。这一过程也被叫做“隧道”(tunneling),这是因为 SSH 为

sftp命令

• sudo可以提供日志,记录每个用户使用sudo操作

 

/test/chameleon R

cd /var/lib/aide

vim /etc/chrony.conf

3:[root@centos6 ~]# cd ~/.gnupg

系统、用户起始目录以及临时目录.

-n 最多的打开的文件描述符个数

Blowfish,Twofish (商业算法)

eg: md5sum /etc/fstab /etc/passwd > md5.log"将多个文件保存到一个文件中"

算法:

 

X.509:定义了证书的结构以及认证协议标准

 

 

67677新澳门手机版 4

许172.16.0.200访问,每次的用户访问都要记录于日志文件中注:其中X为学号

-k 清除时间戳(1970-01-01),下次需要重新输密码

被安装的文件

67677新澳门手机版 5

使用gpg实现对称加密

ip或hostname

PAM库如何处理与该服务相关的PAM模块成功或失败情况

基于net/prefixlen: 192.168.1.0/24(CentOS7)

deny 主要用在/etc/hosts.allow定义“拒绝”规则

wang 192.168.175.136,192.168.175.138=(root) /usr/sbin/,!/usr/sbin/useradd

PAM认证机制

还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的

/etc PERMS

 

sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.

-g 启用网关功能

 

复杂详细实现:使用一个或多个“status=action”

私钥:自己留存,必须保证其私密性;secret key

8:[root@centos6 ~]# gpg -o fstab fstab.gpg (-0相当于重定向,生成文件)

 单个应用程序的二进制文件名,而非服务名,例如vsftpd

转化为openssh兼容格式(适合SecureCRT,Xshell不需要转化格式),并复制到

 示例5

include: 调用其他的配置文件中定义的配置信息

 

2、将原始数据分割成固定大小的块,逐个进行加密

-v 显示复制过程

 

host: 通过哪些主机

7:时间同步

基于password

两种方式实现:

公钥加密:密钥是成对出现 拿到公钥是推算不出私钥的,公钥可以通过私钥推出

将任意数据缩小成固定大小的“指纹”

gpg --import wang.pubkey

基于DH算法做密钥交换,基于RSA或DSA实现身份认证

AIDE

生成签名请求(csr)

1 客户端发起ssh请求,服务器会把自己的公钥发送给用户

 ListenAddress ip

 

x : 转义

openssh-server 服务器端 user/sbin/sshd

ssh -X user@remotehost gedit

      touch /etc/pki/CA/index.txt 生成证书索引数据库文件

 

@group 组内所有用户

AIDE

spawn ssh-copy-id -i /root/.ssh/id_rsa.pub $user@$ip

1 A用 key(data)对称秘钥加密 pb(key)再用B的公钥加密key,B用私钥解密key,得到数据

 

 

 

• 来自sudo包

源码编译安装:

示例2:

3 当客户端再次发送一个连接请求,包括ip、用户名

PAM认证机制

vim /etc/aide.conf (指定对哪些文件进行检测)

What keysize do you want? (2048) 1024 (用多少位加密,默认1024)

gpg -o file(解密的新的文件) -d file.gpg

username=root

PKI(公共的秘钥体系 公钥,私钥,证书 实现): Public Key Infrastructure

fstab.gpg: data

分离签名

 

(5)重设私钥口令:

AllowGroups

eg:[root@centos7 /data]# openssl rsa -in test3.key -pubout -out test3.pubkey

 

testuser将不可登录

所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间

示例:

67677新澳门手机版 6

去掉 /bin/csh

发送到客户端,默认至/dev/null

nofile 所能够同时打开的最大文件数量,默认为1024

一的API,将系统提供的服务和该服务的认证方式分开

 

6:生成用户密码:

 

ssh-copy-id [-i [identity_file]] [user@]host

配置文件:每行一个定义;

B:生成隐私数据 :b,计算得出 g^b%p,发送给A

• 11、dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

67677新澳门手机版 7

授权 :用户账号不一样授权不一样

在hostA主机解密文件

TCP_Wrappers的使用

67677新澳门手机版 8

Password 用户修改密码时密码复杂度检查机制等功能

-R

示例:pam_limits.so

• 3、tar xf dropbear-2017.75.tar.bz2

-u user 默认为root

1 首先在客户端生成一对密钥(ssh-keygen)

# socket:套接字 标识应用唯一地址 实际上是tcp/udp 的端口号 ip

-p: 保持原文件的属性信息

的位置(例如:root用户只能从控制台登录)

GatewayPorts no

ldd /PATH/TO/PROGRAM|grep libwrap.so

67677新澳门手机版 9

 

3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验

 

说明:

pssh -H 192.168.1.10 -o /app -e /app -i "hostname

• 通过visudo命令编辑配置文件,具有语法检查功能

 

认证协议

工具:gpg, openssl rsautl(man rsautl)

功能:

visudo –c 检查语法

的其它服务

补充:ascii码:把所有的数字或字母,符号等编写为ascii码,转化为二进制使得计算机识别

 

2006: TLS 1.1 IETF(Internet工程任务组) RFC 4346

 

主要内容:

DH (Deffie-Hellman):生成会话密钥,由惠特菲尔德·迪菲(Bailey

ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa &> /dev/null && echo "Ssh key is created"

ssh服务登录验证

 

67677新澳门手机版 10

 

bad 结果失败,继续检查

wang ALL=(tom,jerry) ALL

<value> 指定具体值

管理安全:各种保障性的规范、流程、方法

1.使用者执行/usr/bin/passwd 程序,并输入密码

GSSAPIAuthentication yes 提高速度可改为no

⑥ CA审核请求,并颁发证书(会有报错情况,因为我们开始时跳过了第一步)、

User_Alias ADMINUSER = adminuser1,adminuser2

6:当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host*key.pub

在CA上,根据客户提交的serial与subject信息,对比检验是否与index.txt文件中的信息一致,吊

• sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限

/bin/ps R a

2 用户会根据服务器发来的公钥对密码进行加密

MaxStartups 未认证连接最大值,默认值10

pssh -H xuewb@192.168.1.10 -i hostname

openssl passwd -1 –salt centos

功能:只允许root用户在/etc/securetty列出的安全终端上登陆

Cmnd_Alias DSKCMD=/sbin/parted,/sbin/fdisk

 

1995:SSL 2.0 Netscape

eg:[root@centos7 ~/data]# openssl passwd -1 #只要定义了盐,那么相同的口令生成密码一样

墨菲定律

AIDE

select *(*表示所有字段) from user (查询user表中有没有用户账号)

writing RSA key

6 得到服务端发来的消息后,客户端会使用私钥进行解密,然后将解密后的

帮助:man dgst

directory

Auth 账号的认证和授权

• sudo使用时间戳文件来完成类似“检票”的系统,默认存活期为5分钟的“入

 

 

 telnetsrv:23

证书吊销列表:CRL

(2) 把公钥文件传输至远程服务器对应用户的家目录

 

现在小编带大家实现以上创建流程,只不过我们跳过第一步,先执行第二步,看看它会如何报错,具体步骤如下

scp" install

 

• 发送者

实现数字签名:(只要用私钥加密就是数字签名)

修改限制的实现方式:

sudo示例

标准命令:

-L

解密:openssl enc -d -des3 -a -salt –in testfile.cipher-out testfile

授权规则格式:

将P(M)发送给接收者

模块:pam_securetty.so

/etc/hosts.allow

 

5 服务端将使用客户端拷贝过来的公钥进行加密,然后发送给客户端

• rsync –av /etc/ server1:/tmp 只复制目录下文件

Action:采取行为 ok,done,die,bad,ignore,reset

%#gid

1 :A用对称加密算法,进行签名并做hash运算,再用B的公钥加密key

其他 TCP 链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,

9 在入口处检查:如地铁的入口检查

生成公钥/密钥对:P和S

gpg --list-keys

X 协议转发

 

7服务端接受到客户端发来的字符串后,跟之前的字符串进行对比,如果一致,

么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用

时间戳文件:/var/db/sudo

两种运行模式:交互模式和批处理模式

 

done < hostlist.txt

v1: 基于CRC-32做MAC,不安全;man-in-middle

spawn 启动一个外部程序完成执行的操作

 

公开公钥P,保密密钥S

物理安全:各种设备/主机、机房环境

gpg --delete-keys wangxiaochun 删除公钥

 禁止使用空密码

防水墙:防止企业内部安全的攻击,拒接用户随意的访问企业内部

检测:

• sudo能够授权指定用户在指定主机上运行某些命令。如果未授权用户尝试使

7:生成随机数:

2 两阶段协议,分为握手阶段和应用阶段

67677新澳门手机版 11

eg 2 Alice 发送 BOb

-N 不打开远程shell,处于等待状态

gpg --gen-key

Handshake协议:包括协商安全参数和密码套件、服务器身份认证(客户端身份认证可选)、密钥交换

 -p:并发的线程数【可选】

配置文件支持使用通配符glob:

-n 模拟复制过程

-r 递归复制目录树

2 以小人之心度输入数据 :用户输入的数据有可能是错误的数据,绕过密码的检查

 

NORMAL = R rmd60 sha256

password=magedu (只要一个为真全为真)

openssl命令:

 

⑤ 把请求文件放到CA证书存放路径(也就是把请求文件从centos6传到centos7)

实验: 1:[root@centos7 ~]# cd /data

帮助:man enc

67677新澳门手机版 12

批量下载目标服务器的passwd文件至/app下,并更名为user

签证机构:CA(Certificate Authority) 证书颁发机构,证明通讯双方是合法连接的

yum install aide

ForwardX11Trusted yes

total 8

 

 

 daemon_list@host: client_list [ :options :option… ]

 

Pssh示例

 

实验:sudo 通配符*的安全漏洞

④ 利用私钥文件生成请求文件,一般以.csr后缀,默认国家、省会和公司必须和CA一致

功能:机密性,认证,完整性,重放保护

-r 递归复制目录

            生成证书申请文件

使用ls cd mkdir rmdir pwd get put等指令,可用?或help获取帮助信息

systemctl enable chronyd

 

 这次用编号10,下个证书编号是11,如果用了99,则下一个9A而不会是100,到此证书颁发完毕

上的那些文件被更改过了。

xshell, putty, securecrt, sshsecureshellclient

-t 保留时间戳

su 切换身份:su –l username –c ‘command’

 

StrictHostKeyChecking no 首次登录不显示检查提示

Password:

算法:RSA, DSA, ELGamal

基于一对公钥/密钥对, 用密钥对中的一个加密,另一个解密

公钥:公开给所有人;public key

 

openssl rsa -in PRIVATEKEYFILE –pubout –out PUBLICKEYFILE

• rpm --verify package_name (or -V) rpm -V检验数据包的每个文件,每次用rpm安装的包,每个数据包的文件的hash值或者初始值存在数据库中,过段时间,用-V检查数据库中得的每个文件的hash值,比对当前文件的hash值,如果不一样,就会报提示:

• 发送者 Alice

功能:

示例:允许root在telnet登陆

User_Alias SYSADER=wang,mage,

本文由67677新澳门手机版发布于67677新澳门手机版,转载请注明出处:67677新澳门手机版:加密和安全,安全和加密

关键词: