MacOS下使用OpenSSL（LibreSSL）

Posted 2023-03-26

参考技术A OpenSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

自OpenSSL爆出“心脏失血”漏洞后，苹果已将原有的 OpenSSL 替换为 LibreSSL。

将长度不固定的消息（Message）作为输入参数，运行特定的Hash函数，生成固定长度的输出，这个输出就是Hash，也称为这个消息的消息摘要（Message Digest）

常用的单向哈希算法有： md5, sha1, sha256, sha512等。

MD5算法为128位，SHA-1为160位，SHA-256为256位。

加密的消息摘要HMAC（Keyed Hash Message Authentication Code）

上面提到的常规Hash算法，如MD5、SHA，只有一个输入参数：消息。

如果输入参数有两个，一个是消息（Message），另一个是秘钥（Key），将会生成一个加密的消息摘要HMAC。

为了增强HMAC的安全性，只要升级加密Hash算法就可以指数级地增加破解难度。例如HMAC-MD6, HMAC-SHA-3。

曾经有一次面试，面试官问到密码学、哈希函数、避免碰撞相关的问题。

由于哈希函数是将所有不定长的消息转换成定长的消息，所以消息容量一定变小了，也有有发生碰撞的可能。这时可以通过多个哈希函数交叉验证来进一步降低发生的可能性。

常用参数： -aes-128-cbc, -aes-128-cfb, -bf-cbc等。

其中密码算法：bf, cast, des, aes, rs2等。

加密模式：cbc, ecb, cfb, ofb等。

加密算法（cipher），加密模式（encryption mode），填充（padding），初始向量（IV）

上面提到的给消息加解密除了需要加密算法aes/des等之外，还需要加密模式ecb/cbc等。

对称加密通常有四种模式（ECB、CBC、CFB、OFB）

安装libressl后升级ntp

 

生成libssl.so.10和libcrypto.so.10文件

一.强制卸载OpenSSL：
rpm -e --nodeps openssl
二.卸载后重装OpenSSL提示：
There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

libssl.so.10: cannot open shared object file: No such file or directory

Please install a package which provides this module, or
verify that the module is installed correctly.

It’s possible that the above module doesn’t match the
current version of Python, which is:
2.6.6 (r266:84292, Aug 18 2016, 15:13:37)
[GCC 4.4.7 20120313 (Red Hat 4.4.7-17)]

If you cannot solve this problem yourself, please go to
the yum faq at:
http://yum.baseurl.org/wiki/Faq

三.解决方案
1.下载：https://www.openssl.org/source/old/1.0.1/openssl-1.0.1e.tar.gz 上传到服务器，

tar xvf openssl-1.0.1e.tar.gz
cd openssl-1.0.1e
./config shared zlib-dynamic 　　#生成Makefile文件
make　　　　　　　　　　　　#生成libssl.so.1.0.0 和 libcrypto.so.1.0.0
cp  libssl.so.1.0.0  /usr/lib64
cp libcrypto.so.1.0.0  /usr/lib64
cd /usr/lib64
ln -s libssl.so.1.0.0 libssl.so.10
ln -s libcrypto.so.1.0.0 libcrypto.so.10

编译安装ntp

./configure --prefix=/usr/local/ntp --bindir=/usr/sbin --sysconfdir=/etc

make && make install

 

#!/bin/bash
# chkconfig: - 58 74
. /etc/init.d/functions
. /etc/sysconfig/network
prog=ntpd
lockfile=/var/lock/subsys/$prog

start() {
	[ "$EUID" != "0" ] && exit 4
	[ "$NETWORKING" = "no" ] && exit 1
	[ -x /usr/sbin/ntpd ] || exit 5
	[ -f /etc/sysconfig/ntpd ] || exit 6
	. /etc/sysconfig/ntpd

        # Start daemons.
        echo -n $"Starting $prog: "
        daemon $prog $OPTIONS
	RETVAL=$?
        echo
	[ $RETVAL -eq 0 ] && touch $lockfile
	return $RETVAL
}

stop() {
	[ "$EUID" != "0" ] && exit 4
        echo -n $"Shutting down $prog: "
	killproc $prog
	RETVAL=$?
        echo
	[ $RETVAL -eq 0 ] && rm -f $lockfile
	return $RETVAL
}

# See how we were called.
case "$1" in
  start)
	start
	;;
  stop)
	stop
	;;
  status)
	status $prog
	;;
  restart|force-reload)
	stop
	start
	;;
  try-restart|condrestart)
	if status $prog > /dev/null; then
	    stop
	    start
	fi
	;;
  reload)
	exit 3
	;;
  *)
	echo $"Usage: $0 {start|stop|status|restart|try-restart|force-reload}"
	exit 2
esac

　　

 

客户机与服务器时间同步

[root@cdh2 ~]# ntpdate -u 192.168.20.134

14. 查看时间是否同步

[root@cdh2 ~]# ntpq -p 
 remote    refid   st  t  when poll reach   delay   offset  jitter
============================================================================== 
cdh1  LOCAL(0)  6 u 14  64  3    1.092  9.130  3.475

remote   #列出源的 IP 地址或主机名,“+”表示优先，“*”表示次优先
refid    #参考上一层ntp主机地址
st       #stratum阶层
when     #多少秒前曾经同步过时间
poll     #指出轮询间隔时间。该值会根据本地时钟的精度相应增加。
reach    #是一个八进制数字，指出源的可存取性。值 377 表示源已应答了前八个连续轮询。
delay    #网络延迟
offset   #是源时钟与本地时钟的时间差（毫秒）
jitter   #系统时间与bios时间差

查看时间，东部标准时间 (EST)，这样会导致看到的时间不一致，需要修改时区。

# date
2019年 01月 04日 星期五 04:12:05 EST
# dpkg-reconfigure tzdata　　#更改时区
# date　　#查看当前系统时间
2019年 01月 04日 星期五 17:59:20 CST
hwclock　　#查看当前硬件时间
date -s "2018-01-01 11:20:30"　　#设置系统时间，字符串形式
hwclock --systohc　　#将系统时间同步到硬件