網絡安全的一些機制
隨機數的生成 單項加密:實現數據完整性有重要應用 對稱加密:指加密方和解密方使用同一種機制進行加密和解密 非對稱加密 加密解密的組件gpg,openssl
密鑰是成對出現的,一個是公鑰,一個是私鑰。
隨機數的生成 /dev/random /dev/urandom
單項加密的實現:提取數據的特徵碼,指紋 不對數據做加密,只提取特徵 保證數據完整性和加密密碼 特點: 1、定長輸出,隨意輸入 2、雪崩效應(數據微小改變,會影響全局大的改變 3、用於實現防止比對特徵碼進行解密 4、數據不能逆轉 常用的單項加密算法:md5(信息摘要,5表示版本號),sha1 sha1sum file , md5sum file 都是提取文件特徵碼的
對稱加密:在加密前先把數據包切成一塊塊的 再對每塊進行加密.(ECB,CBC) 算法:DES(數據加密標準,長度是56位的),3DES(3重DES加密),AES(高級加密標準,支持128,192,256位),Blowfish,Twofish等等
非對稱加密:也叫公鑰加密算法 RSA DSA EIGamal 應用場合:數字簽名,密鑰分發
ike:internet key exchange密鑰交換 密鑰交換基於DH來實現的。
openssl由三部分組成 :
libcrypto庫 libssl 庫文件 openssl
SSL:security socket layer安全套接字層 TLS:傳輸層安全 transport layer security
openssl rsa -in表示從哪個文件讀入 -pubout -out 表示從哪個文件導出
openssl req -noout -in /root/httpd.csr -text查看證書內容
Openssl genrsa 1024 直接生成密鑰到桌面,加 >/root/httpd.key
Openssl rsa -in /root/httpd.key -pubout 生成一對密鑰
Openssl req -new -key /root/http.key -out /root/httpd.csr 申請證書
Openssl req -new -x509 -key /root/http.key -out /root/httpd.crt -days 3655 把自己創建成CA
openCA 在/etc/pki/CA/下 在/etc/pki/tls下有openssl.cnf 編輯修改CA路徑改爲/etc/pki/CA
在/etc/pki/tls/certs下用make命令生成證書 後面以.pem結尾 這種證書用來測試的 拿來玩的
服務器的配置:OpenSSH
SSH:Secure SHell 安全的shell 兩個版本 sshv1,sshv2
OpenSSH一些rpm包:scp,ssh-keygen
openssh-clients:ssh,slogin,ssh-agent,sftp
openssh-askpass openssh-askpass-gnome
openssh認證:支持基於password認證 基於口令的認證 基於RSA/DSA密鑰的認證 基於kerberos的認證
在客戶端上用ssh-keygen -t rsa生成密鑰 私鑰:~/.ssh/id_rsa 公鑰:~/.ssh/id_rsa.pub
ssh-copy-id用於專門實現把公鑰文件copy到遠程服務器上去
ssh-copy-id -i指定私鑰文件 copy的是對應的公鑰文件
ssh-copy-id -i ~/.ssh/id_rsa user@remote_host
客戶端的配置文件在:/etc/ssh/ssh_config
服務端的配置文件在:/etc/ssh/sshd_config
需要注意的文件/etc/init.d/sshd 可以使用service sshd start|stop|status|restart控制,也可以進入腳本編輯進行控制
/etc/motd文件 編輯內容會出現在用戶登錄時的界面 顯示信息
x11圖形化界面 登錄時加-X 允許啓動圖形界面