第八周

第八周

1 、创建私有CA并进行证书申请。

首先创建两个文件。 touch /etc/pki/CA/index.txt ; echo 01> /etc/pki/CA/serial按照要求创建文件 mkdir -p /etc/pki/CA/{certs,crl,newcerts,private} #centos 7 自带 ，centos8 要创建创建CA私钥 umask 066; openssl genrsa -out private/cakey.pem 2048生成CA自签名证书 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem创建用户私钥 umask 066; openssl genrsa -out /data/app1/app1.key 2048创建用户证书申请文件 openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr颁发证书 openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

2、总结ssh常用参数、用法

ssh 格式 ssh [user@]host [COMMAND]

常用参数 ：

-p port #远程服务器监听的端口

-t #强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3

-o option 如：-o StrictHostKeyChecking=no

-i #指定私钥文件路径，实现基于key验证，默认使用文件： ~/.ssh/id_dsa, ~/.ssh/id_ecdsa,/.ssh/id_ed25519，/.ssh/id_rsa等

3、总结sshd服务常用参数。

sshd：openssh服务器守护进程。

服务器端：sshd

服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #生产建议修改

ListenAddress ip #只监听特定IP 的连接

LoginGraceTime 2m #连接超时时间

PermitRootLogin yes #默认ubuntu不允许root远程ssh登录

StrictModes yes #检查.ssh/文件的所有者，权限等

MaxAuthTries 6 #指定每个连接允许的最大验证尝试次数。失败次数大于设定值一半时，错误消息将被写入syslog文件。

MaxSessions 10 #每个连接可以并行开启多少个会话。

PubkeyAuthentication yes #基于key验证

PermitEmptyPasswords no #空密码连接

PasswordAuthentication yes #基于用户名和密码连接

GatewayPorts no #GatewayPorts 指令可以让 sshd 将远程端口转发绑定到非loopback地址，这样就可以允许远程主机连接了。

ClientAliveInterval 10 #空闲连接时间 单位:秒

ClientAliveCountMax 3 #在线允许超时的次数默认3

UseDNS yes #提高速度可改为no

GSSAPIAuthentication yes #提高速度可改为no

MaxStartups #未认证连接最大值，默认值10。同一个连接最大会话，这个是限制处于联机页面的连接数，默认值10。联机页面就是当你登录ssh时，还没输入密码的页面

Banner /path/file

#以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers user1 user2 user3

AllowGroups g1 g2

DenyGroups g1 g2

ssh服务的最佳实践：

（1）建议使用非默认端口

（2）禁止使用protocol version 1

（3）限制可登录用户

（4）设定空闲会话超时时长

（5）利用防火墙设置ssh访问策略

（6）仅监听特定的IP地址

（7）基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12| xargs

（8）使用基于密钥的认证

（9）禁止使用空密码

（10）禁止root用户直接登录

（11）限制ssh的访问频度和并发在线数

（12）经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

安装dhcpd yum -y install ;systemctl --now enable 配置文件 /etc/dhcp/dhcpd.conf 修改成如下内容 option domain-name-servers 180.76.76.76,223.5.5.5; default-lease-time 86400; max-lease-time 106400; subnet 10.0.0.0 netmask 255.255.255.0 { # 网段 range 10.0.0.150 10.0.0.190; # 网段地址范围 option routers 10.0.0.2; # 网关 next-server 10.0.0.8; # 下载文件的tftp服务器地址 filename "pxelinux.0"; # 远程引导文件，此文件安装syslinux-nonlinux会生成 }重启dhcpd 服务 systemctl restart dchpd

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。