02Linux下sshd以及openssl的知识点

Posted li-hong-sheng

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了02Linux下sshd以及openssl的知识点相关的知识,希望对你有一定的参考价值。

ssh服务优化点
1、不要使用默认端口
2、禁止使用protocol version 1
3、限制可登陆用户   AllowUsers-->>白名单
4、设置空闲会话超时时长
5、利用防火墙设置ssh访问策略
6、仅监听特定的IP地址(内网IP)
7、基于口令认证,使用强密码策略
8、使用基于密钥的认证
9、禁止root用户直接登陆
10、限制ssh的访问频度和并发在线数
11、做好日志,经常分析
OpenSSL三个组件
    openssl:多用途的命令行工具
    libcrypto:加密解密库
      libssl:ssl协议的实现

PKI:Public Key Infrastructure
    CA  -->> 颁发
    RA  -->> 注册
    CRL -->> 注销
    证书存取库
    
 
证书申请及签署步骤
    1、生成申请请求(例如 银行填单)
    2、RA核验
    3、CA签署
    4、获取证书(从CA存取库 获取证书)

    
建立私有CA的方式  
    OpenCA  
    openssl**   
如何创建私有CA
    openssl配置文件   /etc/pki/tls/openssl.cnf
        1、创建所需要的文件
            touch index.txt
            echo 01 >seial
        2、CA自签证书
            (umask 077;openssl genrsa -out private/cakey.pem 2048)
            openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days 7300 -out /etc/pki/CA/cacert.pem
            -new:生成新证书签署请求
            -x509:用于CA生成自签证书
            -key:从私钥生成公钥
            -out:保存的位置/etc/pki/tls/openssl.conf定义了路径
            
        3、发证
            1)请求证书的主机生成证书请求
                (umask 077;openssl genrsa -out /path/to/file.key 2048)
                openssl req -new -key /path/to/file.key -out /etc/file.csr
                
            2)把请求文件传输给CA
                scp file.csr [email protected]:/tmp
            3)签署证书、并将证书发给请求者   
                openssl ca -in /tmp/file.csr -out /etc/pki/CA/certs/file.crt -days 300 
                
            4)吊销证书......

以上是关于02Linux下sshd以及openssl的知识点的主要内容,如果未能解决你的问题,请参考以下文章

OpenSSL 入门:密码学基础知识

suse Linux 系统禁止XDMCP以及sshd的ssh1协议

Linux升级openssl版本

linux ssh服务

centos6.9升级openssl版本

linux禁止root用户直接登录以及新增登录用户