第八周作业:


1、创建私有CA并进行证书申请。

1)创建私有CA

# mkdir /etc/pki/CA/certs  /etc/pki/CA/crl  /etc/pki/CA/newcerts  /etc/pki/CA/private -pv

马哥N63第八周作业_签名证书

2) CA生成签名私钥

# openssl genrsa -out private/cakey.pem

马哥N63第八周作业_签名证书_02

3)生成CA自签名证书

#openssl req -new -x509 -key
/etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

马哥N63第八周作业_配置文件_03

4)查看证书

# openssl x509 -in cacert.pem -noout -text

马哥N63第八周作业_签名证书_04

5)生成自签名证书

# openssl req -utf8 -newkey rsa:1024 -subj
"/CN=www.magedu.org" -keyout app.key -nodes -x509 -out app.crt

马哥N63第八周作业_客户端_05

6)将证书请求文件传输给CA

7)申请证书并颁发证书

#mkdir /data/app/certs -p

#cd /data/app/certs/

a)为需要使用证书的主机生成生成私钥

#(umask 066; openssl genrsa -out   /data/test.key 2048)

马哥N63第八周作业_配置文件_06

b)为需要使用证书的主机生成证书申请文件

#touch /etc/pki/CA/index.txt

#echo 0F > /etc/pki/CA/serial

#openssl req -new -key app.key -out app.csr

马哥N63第八周作业_配置文件_07

c)在CA签署证书并将证书颁发给请求者

#openssl ca -in /data/app/certs/app.csr
-out /etc/pki/CA/certs/app.crt -days 100

马哥N63第八周作业_配置文件_08


2、总结ssh常用参数、用法

ssh命令是ssh客户端,允许实现对远程系统经验证地加密安全访问。

格式:

ssh [user@]host [COMMAND]

ssh [-l user] host [COMMAND]


常见参数:


-p port 
#远程服务器监听的端口

-b  #指定连接的源IP

-v  #调试模式

-C  #压缩方式

-X  #支持x11转发

-t  #强制为tty分配,如:ssh -t
remoteserver1 ssh -t remoteserver2 ssh remoteserver3

-o 
option 如:-o StrictHostKeyChecking=no

-i <file>  #指定私钥文件路径,实现基于key验证,默认使用文件:
~/.ssh/id_dsa,

~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等




3、总结sshd服务常用参数。(科学上网的方法不要往博客写,访问量超过一万,博客会被封。)

sshd:openssh服务器守护进程。


服务器端:sshd


服务器端的配置文件: /etc/ssh/sshd_config


常用参数:


Port 
#生产建议修改

ListenAddress ip

LoginGraceTime 2m

PermitRootLogin yes  #默认ubuntu不允许root远程ssh登录

StrictModes yes  #检查.ssh/文件的所有者,权限等

MaxAuthTries 6  #pecifies the maximum number of
authentication

attempts permitted per connection. Once the
number of failures reaches half this

value, additional failures are logged. The
default is 6.

MaxSessions 10   #同一个连接最大会话

PubkeyAuthentication yes   #基于key验证

PermitEmptyPasswords no  #空密码连接

PasswordAuthentication yes  #基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10   #单位:秒

ClientAliveCountMax 3   #默认3

UseDNS yes 
#提高速度可改为no

GSSAPIAuthentication yes   #提高速度可改为no

MaxStartups   #未认证连接最大值,默认值10

Banner /path/file


4、搭建dhcp服务,实现ip地址申请分发

1)关闭vmware中的DHCP

马哥N63第八周作业_客户端_09

2)安装dhcp

#yum install -y dhcp-server

马哥N63第八周作业_签名证书_10

3)复制并修改配置文件,给指定主机分配固定IP

#rpm -ql dhcp-server

马哥N63第八周作业_客户端_11

# cp
/usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf

马哥N63第八周作业_客户端_12

#ip a

马哥N63第八周作业_签名证书_13

#vim /etc/dhcp/dhcpd.conf

#cat /etc/dhcp/dhcpd.conf

马哥N63第八周作业_签名证书_14

马哥N63第八周作业_客户端_15

马哥N63第八周作业_客户端_16

马哥N63第八周作业_签名证书_17


4) 启动dhcp服务,查看dhcp客户端申请地址的过程

#systemctl start dhcpd

#dhclient -d