OpenSSH：

創(chuàng)新互聯(lián)公司服務(wù)項目包括沐川網(wǎng)站建設(shè)、沐川網(wǎng)站制作、沐川網(wǎng)頁制作以及沐川網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，沐川網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到沐川省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

SSH是一種協(xié)議

        ssh:secure shell, protocol, 22/tcp, 安全的遠程登錄

        OpenSSH:ssh協(xié)議的開源實現(xiàn)；

                  dropbear：另一個開源實現(xiàn)；

先要安裝yum install trlnet-server

        SSH協(xié)議版本

                  v1:基于CRC-32做MAC，不安全；man-in-middle

                  v2：雙方主機協(xié)議選擇安全的MAC方式

                           基于DH算法做密鑰交換，基于RSA或DSA算法實現(xiàn)身份認證；

                  兩種方式的用戶登錄認證：

                           基于password

                           基于key

  OpenSSH:

       C/S

     C:ssh, scp, sftp

   Windows客戶端：

  xshell,putty, securecrt,sshsecureshellclient

      S:sshd

    客戶端組件：

    ssh,配置文件：/etc/ssh/ssh_config

      格式：ssh[user@]host [COMMAND]

           用戶 主機

        Ssh292.168.1.101

         ssh [-l user] host [COMMAND]

       -pport：遠程服務(wù)器監(jiān)聽的端口；

        -X:支持x11轉(zhuǎn)發(fā)；

        -Y：支持信任的x11轉(zhuǎn)發(fā)；

        Host PATTERN

     PARAMETERVALUE

   基于密鑰的認證：

   (1)在客戶端生成密鑰對兒

      ssh-t rsa [-P ''] [-f "~/.ssh/id_rsa"]

ssh-keygen –t rsa –P ‘’ –f ~/.ssh/id_rsa     -P這里是端口

    (2)把公鑰傳輸至遠程服務(wù)器對應(yīng)用戶的家目錄

     ssh-copy-id[-i [identity_file]][user@]machinessh-copy-id –i.ssh/id_rsa.pubroot@192.168.1.101

         (3)測試

                    Vim .ssh/authorized_keys這里可以寫公鑰的那些密碼

                           scp命令：

        scp[options] SRC... DEST/知名目標文件

            存在兩種情形：

                                              PULL：scp[options[user@]host:/PATH/FROM/SOMEFILE /PATH/TO/SOMEWHERE

                    PUSH:scp[options]/PATH/FROM/SOMEFIL[user@]host:/PATH/TO/SOMEWHERE

              常用選項：

             -r:遞歸復(fù)制；

            -p:保持原文件的屬性信息；

            -q:靜默模式

            -PPORT: 指明remote host的監(jiān)聽的端口；

                           sftp命令：

                                    sftp[user@]host

                                    sftp>help

                  服務(wù)器端：

                           sshd,配置文件: /etc/ssh/sshd_config

                           常用參數(shù)：

                                    Port22022

                                    ListenAddressip監(jiān)聽內(nèi)網(wǎng)地址

                                    PermitRootLoginyes圖形程序xclock

                                    限制可登錄用戶的辦法：

                                              AllowUsersuser1 user2 user3

                                              AllowGroups

        ssh服務(wù)的最佳實踐：

                  1、不要使用默認端口；

                  2、禁止使用protocolversion 1；

                  3、限制可登錄用戶；

                  4、設(shè)定空閑會話超時時長；

                  5、利用防火墻設(shè)置ssh訪問策略；

                  6、僅監(jiān)聽特定的IP地址；

                  7、基于口令認證時，使用強密碼策略；

                           #tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs

                  8、使用基于密鑰的認證；

                  9、禁止使用空密碼；

                  10、禁止root用戶直接登錄；

                  11、限制ssh的訪問頻度和并發(fā)在線數(shù)；

                  12、做好日志，經(jīng)常分析；

        ssh協(xié)議的另一個實現(xiàn)：dropbear

                  (1)dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048

                           dropbearkey-t rsa -f /etc/dropbear/dropbear_rsa_host_ke ey

                           dropbear-p [ip:]port -F –E

編譯安裝的方法

./configrel

Make PROGRAMS=’ dropbear scp dropbearkeydbclient’ inatall

Mkdir /etc/dropbear

dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key –s 2048

dropbearkey -t rsa -f/etc/dropbear/dropbear_rsa_host_key

OpenSSL：

        三個組件：

                  openssl:多用途的命令行工具；

                  libcrypto:加密解密庫；

                  libssl：ssl協(xié)議的實現(xiàn)；

        PKI：Public KeyInfrastructure

                  CA發(fā)證機構(gòu)

                  RA注冊機構(gòu)

                  CRL

                  證書存取庫

        建立私有CA:

                  OpenCA

                  openssl

        證書申請及簽署步驟：

                  1、生成申請請求；

                  2、RA核驗；

                  3、CA簽署；

                  4、獲取證書；

        創(chuàng)建私有CA：

                  openssl的配置文件：/etc/pki/tls/openssl.cnf

                    /etc/dir/certs 庫

                    (1)    創(chuàng)建所需要的文件

                    (2)    Cd /etc/pki/CA

                          # touch index.txt

                           #echo 01 > serial

                           #

    (2)CA自簽證書

  #(umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

 #openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -t days7300out/etc/pki/CA/cacert.pem

      -new:生成新證書簽署請求；

      -x509:專用于CA生成自簽證書；

     -key:生成請求時用到的私鑰文件；

    -daysn：證書的有效期限；

      -out/PATH/TO/SOMECERTFILE: 證書的保存路徑；

CN中國 Beijing 北京 Beijing 北京 magedu ops運維 服務(wù)器解析的名字ca.magedu.com,caadmin@magedu.com

   (3)發(fā)證

   (a)用到證書的主機生成證書請求；

  #(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

  #openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out/etc/httpd/ssl/httpd.csr

Rpm –q httpd

        Cd /etc/httpd

            Mkdirssl

            Cd ssl/

            Openssl req –key httpd.key 同上

    (b)把請求文件傳輸給CA；

    (c)CA簽署證書，并將證書發(fā)還給請求者；

  #openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

      查看證書中的信息：

   opensslx509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

  (4)吊銷證書

   (a)客戶端獲取要吊銷的證書的serial

  #openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

  (b)CA

 先根據(jù)客戶提交的serial與subject信息，對比檢驗是否與index.txt文件中的信息一致；

   吊銷證書：

  #openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

 (c)生成吊銷證書的編號(第一次吊銷一個證書)

  #echo 01 > /etc/pki/CA/crlnumber

  (d)更新證書吊銷

 #openssl ca -gencrl -out thisca.crl

         查看crl文件：

   #openssl crl -in /PATH/FROM/CRL_FILE.crl -noout –text

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

標題名稱：telnet,openssh以及openssl-創(chuàng)新互聯(lián)
URL鏈接：http://weahome.cn/article/dcsjss.html