1、根据web日志或者或者网络连接数,
监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,
监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT
此方式只实现交互式的命令方式,可以将中间awk命令放到计划任务中
2、描述密钥交换的过程
A首先发连接请求到B,B会将自己的公钥和一个会话ID 发给A
A会将B的会话ID 和自己的公钥做异或得到一个值A-value,再用B的公钥将A-value加密发给B
B会用自己的私钥解密,得到A-value,再用A-value和会话ID做异或,得到A的公钥,然后两侧分别用公钥加密数据,用私钥解密数据
3、https的通信过程
客户端A 向服务器B 发送请求,
B上面已经具有了证书,证书里包含公钥发送给A
A通过自身信任的证书机构去解析B发来的证书,从而得到了B的公钥(如果无法解析,则会出现警告)
之后A生成一个随机值,通过B的公钥加密后发送给B,B通过自身的私钥解析
得到A的随机值,现在A和B都有了相同的随机值,通过这个随机值再生成一个对称密钥,
通过这个对称密钥发送数据
4、创建私有CA并进行证书申请
创建CA并自签证书:
1、创建必要文件
mkdir -p /etc/pki/CA/{certs,crl,newcerts,private} 创建存放证书的位置
touch /etc/pki/CA/index.txt 存放证书的信息,如编号,名称,种类等
touch /etc/pki/CA/serial 存放证书编号,而且是下一张证书的编号
echo 01 > /etc/pki/CA/serial 如果是首次创建,必须事先提前写01,表示第一张证书
2、创建CA的私钥
cd /etc/pki/CA/
(umask 066;openssl genrsa -out private/cakey.pem 2048) 文件是600的权限
3、创建自签证书
openssl req -new -x509 -key private/cakey.pem -out certs/cacert.pem -days 3650
-new:生成新证书签署请求
-x509: 专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days:证书有效期
-out:证书的保存路径 注意,证书的保存路径和证书名称要和配置文件中的名称必须一致
申请并颁发证书:
申请证书需要两个文件,一个是要申请主机的私钥,一个是证书请求文件:
为主机生成私钥文件:
(umask 066;openssl genrsa -out app.key 2048)
生成证书请求文件:
openssl req -new -key app.key -out app.csr
在向导中,国家,省份,组织,否则会导致证书颁发失败
将上面生成的私钥和请求文件发送给CA服务器
CA服务器上执行:
openssl ca -in app.csr -out /etc/pki/CA/certs/app.crt -days 3650 注意这里的out路径是certs 中
这里app.csr指定明确位置
