openssl和mongodb兼容 openssl openssh

转载

mob6454cc6d3e23 2024-06-24 19:41:10

文章标签 openssl和mongodb兼容运维操作系统开发工具配置文件 文章分类 MongoDB 数据库

openssh

配置ssh基于密钥的方式认证

服务器端配置文件

ssh服务的最佳实践

OpenSSL

三个组件

PKI: Public Key Infrastructure

建立私有CA

证书申请及签署步骤

创建私有CA详细步骤

openssh

配置ssh基于密钥的方式认证

1.生成密钥对

ssh-keygen -P '' -f .ssh/own_rsakey

2.将公钥复制至将要远程连接的服务器特定目录里

使用上述命令会生成两个文件一个私钥一个公钥，cat .ssh/own_rsakey.pub是公钥文件

将里边的内容复制

远程连接要使用密钥认证的服务器打开其要远程的用户家目录下~/.ssh/

vim authorized_keys

然后将密钥粘贴至此处

更改该文件的权限为600如果不改可能无法实现基于密钥谁

scp命令可以将远程的服务器里的文件复制至本机，也可以将本机的文件复制至服务器

scp user@host:/path/file /path/somewhere 远程文件至本地
 scp /path/somewhere user@host:/path/    本地文件至远程

 服务器端配置文件
 /etc/ssh/sshd_config
 HostKey
 Port 22
 ListenAddress 0.0.0.0
 Protocol 2
 PermitRootLogin yes


 ssh服务的最佳实践
 1、不要使用默认端口
 2、禁止使用protocal version1
 3、限制可登录用户
 4、设定空闲会话超时时长
 5、利用防火墙设置ssh访问的策略
 6、仅监听特定的IP地址
 7、基于口令认证时，使用强密码策略
 # tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs
 8、使用基于密钥认证
 9、禁止使用空密码
 10、禁止root用户直接登录
 11、限制ssh的访问频度和并发在线数
 12、做好日志，经常分析




OpenSSL
 三个组件
 openssl 多用途的命令行工具
 libcrypto 加密解密库
 libssl ssl协议的实现


 PKI: Public Key Infrastructure
 CA Certificate Authority
 RA Registration Authority
 CRL Certificate Revocationg List
 证书的存取库


 建立私有CA
 OpenCA
 Openssl


 证书申请及签署步骤
 1、生成申请请求
 2、注册机构RA核验
 3、CA签署
 4、获取证书


 创建私有CA
 openssl的配置文件 /etc/pki/tls/openssl.conf

 1. 创建openssl配置文件里所需要的文件
 touch /etc/pki/CA/index.txt
 echo 01 > /etc/pki/CA/serial
 echo 01 > /etc/pki/CA/crlnumber

 2. CA自签证书
 生成私钥
 (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
 生成证书
 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 \
 -out /etc/pki/CA/cacert.pem

 -new 生成新证书签署请求
 -x509 专用于CA生成自签证书
 -key 生成请求时用到的私钥文件
 -days 证书的有效期限
 -out /PATH/TO/SOMECERTIFILE 证书

 3. 发证
 a 用到证书的主机生成证书请求
 (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
 openssl req -new -key /etc/httpd/ssl/httpd/ssl/httpd.key -days 365 \
 -out /etc/httpd/ssl/httpd.csr

 b 把请求文件传输给CA

 c CA签署证书，并将证书还给请求者
 openssl ca in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

 查看证书中的信息
 openssl x509 -in /PATH/FROM/cert_file -noout -text|-subject|-serial

 4. 吊销证书
 a 客户端获取要吊销证书的serial
 openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

 b CA
 先根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致

 吊销证书
 openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem 

 c 生成吊销证书的编号(第一次吊销一个证书时使用)
 echo 01 > /etc/pki/CA/crlnumber

 d 更新证书吊销列表(名字和路径自己指定)
 openssl ca -gencrl -out /etc/pki/CA/crl/mysky.crl

 查看crl文件
 openssl crl -in /etc/pki/CA/crl/mysky.crl -noout -text

转载于:https://blog.51cto.com/winthcloud/2119779

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。