加密安全相关知识

ssh服务      公钥在/etc/ssh中，第一次连接就会把对方的公钥下载到此文件中cat /etc/ssh/ssh_hosts_pub=known _hosts

             修改客户端的配置文件：/etc/ssh/ssh_config   strickhostkeychecking 改成no（修改客户端配置文件不需重启）

             lstab：可查看其他机器访问我的机器登陆失败的次数     

基于key验证：1，生成公钥私钥对：ssh-keygen

                       2，把公钥拷到对方机器上：ssh-copy-id -i +对方的ip地址

                            再去对方机器上看一下ls .ssh，里边有公钥就是拷贝成功，

                        3，此时在本机连接对方机器，是不需要属密码的，直接连接

                        *私钥不能丢失，防止私钥丢失，给私钥加密

                          私钥加密：ssh-keygen ，在第二步输入设置私钥密码，

                         此时在本机连接对方机器需要输入私钥的密码，

                        为了方便不输入私钥密码，可以临时让程序记住：ssh-agent bash   ssh-add

                                                                                                      

 scp远程复制格式：scp /etc/redhat-release 10.0.0.154:/date（前边是源，后边是目标）

scp复制缺点：如果其中有文件发生了变化，重新复制的话，会把所有的文件再复制一遍，不会把发生变化的文件单独复制，效率比较低

 rsync  rsync -av /data 对方机器ip地址：/data  复制目录和目录下的文件

            rsync -av /data/ 对方机器ip地址：/data 复制目录下的文件

 禁止某一台机器连接本机：iptables -A INPUT -s 禁止机器的ip地址 -j REHECT

 不想登陆的时候敲yes，把/etc/ssh/ssh_config文件中的StrictHosttkeychecking  ask改成no

 ip {1..254}匹配需要很长世间，所以放在后台并行执行会很快

 ssh服务器配置：配置文件/etc/ssh/sshd_config

sshpass

         把密码直接跟：sshpass -p密码 -o stricthostkeychecking=no 对方ip

         把密码写到文件中：echo 密码 > pass.txt

                           sshpass -f pass.txt ssh [email protected]

         把密码设成变量：export SSHPASS=123456

                         sshpass -e ssh [email protected]

sudo  作用：实现授权

      sudo的配置文件是/etc/sudoers   权限是440

      visudo -c：检查语法的

PAM  pam的模块文件在/etc/lib64/security/*.so

      pam的模块相关配置文件：/etc/security,不是每个模块都有配置文件，

      pam的配置文件格式：由4列组成

type：模块的类型 auth：验证身份相关的

                          account：验证账户的有效性

                          password：修改密码，检查机制

                          session：登陆期间的控制

        control：控制性 required：一票否决

                       requisite：一票否决，不执行下边的程序

                       rufficient：一票通过

                       optional：可选的

       module-path：路径(写文件名就行)

       argentments：参数

      改shell类型： 1，chsh -s /bin/csh 用户名

                             2，usermod -s /bin/csh 用户名

      pkill：把终端上其他的人踢出去，pkill -9 -t pts/1

      pgrep：是搜素进程的，

      简单的pam的文件直接加参数就ok，复杂的就写配置文件，配置文件写在/etc/security下

      如果某一项功能受限了，是因为此文件中有account required pam,nologin.so

      nologin:是不想让普通用户登录，有利于维护，新的用户就登陆不进来了

      limits： 让用户使用的资源受到限制，默认情况已经影响到用户的使用资源

             查询谁调用了limits模块：grep pam_limits .so *

      控制用户打开的文件个数，打开进程数 1，写到配置文件里

                                                                    2，临时生效（ulimit）

      Ulimit  -a：可查目前被限制的

             -n：可临时修改打开的文件的个数

             -u：可临时修改打开的进程的个数

时间服务  ntp：同步机制是逐渐同步

                chrony：chrony同步的快是因为/etc/chrony.conf文件中iburst起到快速同步的效果

                 chronyc -n sources -v 显示同步时间的情况 *代表连接上已同步，-n：是把名称转换为数字

          配置服务器的配置文件：在/etc/chrony.conf中

          server ntp.aliyun.com   iburst

          server ntp1.aliyun.com  iburst

          allow 10.0.0.0/24 (允许10.0.0.0这个网段同步，允许所有人就是10.0.0.0/24)

          local stratum 10 （10代表本地服务器）要打开，本来是被#掉的

          设置local stratum 10 是因为如果本机连不上网络同步不了时间，否还可以能链接到本地同步时间的请求，是有用本机的时间和其他服务器同步

          配置客户端

         让其他机器和局域网中的时间同步，在/etc/chrony.conf中改文件  server 10.0.0.154 iburst

        

         timedatectl：可以改时区和时间

         改时区的方法 1，timedatectl set-tiemzon +要改的时区

                                2，删除软连接：rm -f /etc/locltime

                                      再建一个软连接：ln -s ../usr/share/zone /etc/localtime

         

         查看selinux的状态 sestatus

                                       getenforce