8.linux基础-ca和ssh服务等
1、创建私有CA并进行证书申请。
1、创建私有CA并进行证书申请。 配置文件存放路径 /etc/pki/tls/openssl.cnf [ CA_default ] dir = /etc/pki/CA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. #unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. new_certs_dir = $dir/newcerts # default place for new certs. certificate = $dir/cacert.pem # The CA certificate serial = $dir/serial # The current serial number crlnumber = $dir/crlnumber # the current crl number # must be commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key = $dir/private/cakey.pem# The private key RANDFILE = $dir/private/.rand # private random number file 创建CA所需要的文件 #生成证书索引数据库文件 touch /etc/pki/CA/index.txt #指定第一个颁发证书的序列号 echo 01 > /etc/pki/CA/serial 生成CA私钥 cd /etc/pki/CA/ (umask 066; openssl genrsa -out private/cakey.pem 2048) 生成CA自签名证书 # openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem [root@localhost CA]# openssl x509 -in cacert.pem -noout -text 将证书文件的base64编码转换为一个易读的格式查看证书文件 将证书文件cacert.pem传至windows桌面,修改文件名为cacert.pem.crt,双击可以看到下面显示 [root@localhost CA]# sz cacert.pem 用户生成私钥和证书申请 生成私钥 [root@localhost data]# mkdir app1 [root@localhost app1]# (umask 066; openssl genrsa -out /data/app1/app1.key 2048) 生成证书申请文件 [root@localhost app1]# openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr CA颁发证书 [root@localhost app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000 验证指定编号对应证书的有效性 [root@localhost app1]# openssl ca -status 01 Using configuration from /etc/pki/tls/openssl.cnf 01=Valid (V) 导出CA证书
2、总结ssh常用参数、用法
格式: ssh [user@]host [COMMAND] ssh [-l user] host [COMMAND] 常见选项: -p port #远程服务器监听的端口 -b #指定连接的源IP -v #调试模式 -C #压缩方式 -X #支持x11转发 -t #强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3 -o option 如:-o StrictHostKeyChecking=no -i <file> #指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/id_dsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ed25519,~/.ssh/id_rsa等
3、总结sshd服务常用参数。
ssh [user@]host [CMD] 以user用户名远程登录host主机,若无user@则以当前用户名登录远程。后面可以接CMD命令,表示直接在远程主机上执行命令 选项: -p 远程服务器sshd服务监听端口,默认是22端口,sshd服务端口可以在/etc/sshd/sshd_config文件里修改 -b 指定当前主机的哪个ip去连接远程主机 -X 支持x11转发,可以跨网络显示界面 -t 强制伪tty分配,一般用于不支持直接跳的两台机器,需要先跳到其他机子,再跳回来,-t就可以一条命令执行,但还是需要输每台机子的密码,如:ssh -t host1 -t host2 -t host3。 -o 后面可跟配置,用于修改配置文件中的相关配置,如:-o StrictHostKeyChecking=no -i 指定私钥文件路径,用于key验证,默认是~/.ssh/id_rsa、~/.ssh/id_ecdsa等 -C 指定压缩方式,节省带宽 -L 本地端口转发,ssh -L localport:remotehost:remotehostport sshserver(在外网ssh_client机子上执行) -R 远程端口转发,ssh -L localport:remotehost:remotehostport sshserver(在内网ssh_client上执行) -D 动态端口转发,ssh -D localport proxyhost(在本机上执行,之后访问本机的localport会将请求发送至proxyhost) -f 配合-L/-R/-D后台启用本地端口转发 -N 配合-L/-R/-D表示本地端口转发时不远程连接shell上 -g 配合-L/-R/-D表示本地端口转发时启用网关功能,不再仅限于127.0.0.1的端口转发,要修改~/ssh/sshd_config的gatewayport配置为yes,启用网关功能。
4、搭建dhcp服务,实现ip地址申请分发
1.安装 yum install -y dhcp 或 yum install -y dhcp-server (centos8) 2.配置文件 [root@localhost ~]# cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf vim /etc/dhcp/dhcpd.conf option domain-name "example.org"; option domain-name-servers 180.76.76.76, 114.114.114.114; #DNS服务 default-lease-time 86400; #地址租期 max-lease-time 106400; #地址最大租期 subnet 192.168.42.0 netmask 255.255.255.0 { range 192.168.42.100 192.168.42.120; #地址池 option routers 192.168.42.1; #网关 } 注:将地址与MAC地址进行绑定 host test { hardware ethernet 00:0c:29:b1:39:7a; fixed-address 192.168.42.125; } 3.重启服务 systemctl restart dhcpd 4.客户端网卡配置 [root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 # Generated by dracut initrd NAME="eth0" DEVICE="eth0" ONBOOT=yes NETBOOT=yes UUID="71bb1423-8fef-4074-88fd-30cb062bdde7" IPV6INIT=yes BOOTPROTO=dhcp TYPE=Ethernet 5.获取地址 dhclient -d 6.查看获取到的地址 ip a
posted on 2022-05-04 22:09 N64_849411472 阅读(56) 评论(0) 编辑 收藏 举报
