背景:
初期のインターネット- 80年代、私たちは、データを共有するために、データの伝送を必要とし、データは平文の両方によって送信や共有、
インターネットの発展に伴い、セキュリティは戦略的な資源国となっています。
プログラミング、操作およびメンテナンスを-手工芸品;
アルゴリズムの安全性を研究する数学の問題をする必要が基づいている-セキュリティは、科学研究の形であります
データのセキュリティを確保するために、我々は次の4点を満たす必要があります:
1、データは暗号化されなければならない
2、整合性チェック(ハッシュ、一方向の暗号化、指紋)
3、ソース認証
4.システム証明書(OpenSSLはPKIを実装するために使用されます最初の3個)含有アーキテクチャ証明書、
1、データ暗号化
記憶するデータの暗号化
対称暗号鍵
、秘密鍵で暗号化は、キーによって解読される
高効率:長所
短所:秘密鍵が維持されます難易度は、鍵交換をすることが非常に困難である
2、秘密鍵非対称暗号
鍵ペア(公開、プライベート)
A - B
の秘密鍵公開鍵
Bは、公開鍵aを使用してデータを暗号化し、その後に送信することができます;
利点:メンテナンスキー;データ安全
欠点:低効率(非常に低い)、および対称暗号化は、ギャップは約1000倍である
2つの暗号化形態
1、ストリーム暗号化
- 2、整合性チェックが指紋
そのデータを保証する完全性試験データが改ざんされていない
の原理:、マシンデータ取得が再びハッシュマシンのデータBのハッシュ値を取得するステップと、そのハッシュ結果を取ると取得されたハッシュ結果Bマシンを比較し、
同じ場合、データは完了し、そうでない場合、データは信頼できません。
ハッシュ機能:
1、不可逆-方法暗号
2、アバランシェ効果-文字完全に異なる結果出力変更するための
3、ソース認証
さらに効果の非対称秘密鍵:
デジタル署名(暗号化されたデータ(遅すぎると、しません鍵交換は、))を使用する
秘密鍵の交換は、私たちが解読するために、公開鍵秘密秘密鍵を使用するときにやっていた
復号化するための公開鍵-デジタル署名秘密鍵暗号化
のみ、自分の秘密鍵、秘密鍵でデータを暗号化、
データ・ソースが正しい復号化するために説明できるならば、終わりを解読するために自分の公開鍵を使用するために、それ以外の場合は、信頼することはできません
4、*証明書のメカニズム- PKI(opensslの)
私たちのインフラをPKI(公開鍵基盤)を介して、上記目的を達成するために前述の3つの認証メカニズムは、
PKIは、次のとおりです。
CA -発行された証明書のために使用される証明書サーバーのCAサーバ、;
RA -代理機関、登録証明書をCAを構築するために、
CRL -証明書失効リスト、
証明書:ルート証明書を、個人証明書
OpenSSLの
OpenSSLの管理ツール
2つの暗号化プロシージャ・コール・インタフェース-ライブラリファイル
一般的なファイル:
の/ etc / PKI / TLSの
拡張:Netscapeが開発した1995年のssh 2.0
1996年のSSH 3.0
TLS1.0保守団体の合計にsshをするために破産の1999年のNetscape寸前で
tls1.1を開発し、2006年に
2008 tls1.2 // SSH現在のインターネット環境は、一般的に使用される/ TLS合意開発
tls1.3の開発に2018年
/etc/pki/tls/openssl.cnfを-メインの設定ファイルデフォルト
/ウル/ binに/ OpenSSLを- -コマンドファイル
は/ etc / PKI / CA -証明書サーバ証明書サービスのルートディレクトリ
に/ etc / PKI / CA / certsの - 証明書ストアディレクトリ
の/ etc / PKI / CA / CRL -
の/ etc / PKI / CA /プライベート
証明書情報のindex.txtの//インデックスは、ファイル
シリアル//証明書のシリアル番号
cakey.pemファイル// CA証明書要求ファイル
cacert.pemの// CAのルート証明書ファイル
のSSH
パラメータ最適化SSHサービス端末
のOpenSSL - C / SとTelnetのように、 (ソフトウェアプログラム)
(パスワードが送信された暗号化された)データを暗号化することのできる
SSHプロトコルは、データを転送するために暗号化されたデータをSSL / TLSプロトコルを意味し、
データを送信する前に、
SSHログインプロセス:
1は、SSLトンネル確立
送信公開鍵を
ランダム秘密鍵情報を生成して送信
トンネルを確立する
[動作がトンネルで行った上方]
2、サーバはログイン画面戻り
3を、クライアントがパスワードを入力する-パスワードはユーザでありますパスワード(ルート)
SSH認証:
1は、パスワード認証通過した
2、証明書認証メカニズムを-無料のキーを
プルSCPプッシュ
SFTPの
スクリプトを:対話型インタフェースが期待によって実装される自動化;
#!/ usr / binに/期待
のspawnを! -新しいセッション#/ binに/ bashのに開くことを期待する
行動-センド
一致する文字列は-期待
の対話を-タイムアウト
「コマンド」{「はい」}送っ期待
#!/ binに/ bashの
期待<< EOF
EOF
;時間は、裁判官が複数のステートメント、使用exp_continueを実行することを期待
:192.168.1.100はパスワード行わない- 192.168.1.1に
#!/ binに/ bashの
#
&& SSH - [-f /root/.ssh/id_rsa.pubを!] -P -t RSA keygenの'-f '/root/.ssh/id_rsa'
期待EOF <<
スポーン-SSHコピーID -i /root/.ssh/id_rsa.pub [email protected]
{い
}
EOF