N63050第七周运维作业

第十三天
十三、文本处理awk 内核管理
1、文本处理三剑客之awk基本用法(43分钟)
2、文本处理三剑客之awk基本用法(63分钟)
3、文本处理三剑客之awk高级用法(61分钟)
4、Linux启动流程和grub管理(55分钟)
5、Linux启动流程和服务管理(60分钟)
6、Linux的内核参数配置(43分钟)
7、systemd特性和内核编译安装(65分钟)

第十四天
十四、加密安全
1、systemd的服务service文件实现(49分钟)
2、target管理和grub2故障排错(47分钟)
3、安全机制和各种攻击方式实战(61分钟)
4、对称和非对称算法及单向哈希算法(57分钟)
5、加密综合应用及证书和CA(72分钟)
6、私有CA和openssl配置文件详解(87分钟)

第七周就业班作业：

1、解决DOS攻击生产案例:根据web日志或者或者网络连接数，监控当某个IP 并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP，监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

[root@centos8 ~]# cat reject_dos.sh
LINK=100
while true;do
	ss -nt | awk -F"[[:space:]]+|:" '/^ESTAB/{print $(NF-2)}' | sort |uniq -c | while read count ip;do
		if [ $count -gt $LINK ];then
			iptables -A INPUT -s $ip -j REJECT
		fi
	done
done
[root@centos8 ~]# chmod +x /root/reject_dos.sh 
[root@centos8 ~]# crontab -e
[root@centos8 ~]# crontab -l
*/5 * * * * /root/reject_dos.sh

2、描述密钥交换的过程

密钥交换：IKE（ Internet Key Exchange ）

公钥加密：用目标的公钥加密对称密钥

DH (Deffie-Hellman)：生成对称（会话）密钥

参看：https://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange

DH 介绍

这个密钥交换方法，由惠特菲尔德·迪菲（Bailey Whitfield Diffie）和马丁·赫尔曼（Martin
Edward Hellman）在1976年发表
它是一种安全协议，让双方在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密
钥，这个密钥一般作为“对称加密”的密钥而被双方在后续数据传输中使用。
DH数学原理是base离散对数问题。做类似事情的还有非对称加密类算法，如：RSA。
其应用非常广泛，在SSH、VPN、Https…都有应用，勘称现代密码基石
DH 实现过程：

A: g,p 协商生成公开的整数g, 大素数p
B: g,p
A:生成隐私数据:a (a<p)，计算得出 g^a%p，发送给B
B:生成隐私数据:b,(b<p)，计算得出 g^b%p，发送给A
A:计算得出 [(g^b%p)^a]%p = g^ab%p，生成为密钥
B:计算得出 [(g^a%p)^b]%p = g^ab%p，生成为密钥

DH 特点

泄密风险：私密数据a，b在生成K后将被丢弃，因此不存在a，b过长时间存在导致增加泄密风险。
中间人攻击：由于DH在传输p，g时并无身份验证，所以有机会被实施中间人攻击，替换双方传输时的
数据
范例:

g=23
p=5

A:a=6
g^a%p=23^6%5=4

[(g^b%p)^a]%p=2^6%5=4
B:b=15
g^b%p=23^15%5=2

[(g^a%p)^b]%p=4^15%5=4

[root@centos8 ~]#echo 23^15%5|bc
2
[root@centos8 ~]#echo 23^6%5|bc
4
[root@centos8 ~]#echo 2^6%5|bc
4
[root@centos8 ~]#echo 4^15%5|bc
4

3、https的通信过程

HTTPS 协议：就是“HTTP 协议”和“SSL/TLS 协议”的组合。HTTP over SSL 或 HTTP over TLS ，对http协
议的文本数据进行加密处理后，成为二进制形式传输

HTTPS 工作的简化过程

1. 客户端发起HTTPS请求
   用户在浏览器里输入一个https网址，然后连接到服务器的443端口
2. 服务端的配置
   采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自
   己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出
   提示页面。这套证书其实就是一对公钥和私钥
3. 传送服务器的证书给客户端
   证书里其实就是公钥，并且还包含了很多信息，如证书的颁发机构，过期时间等等
4. 客户端解析验证服务器证书
   这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如：颁发机构，过期时间等
   等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一
   个随机值。然后用证书中公钥对该随机值进行非对称加密
5. 客户端将加密信息传送服务器
   这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端
   的通信就可以通过这个随机值来进行加密解密了
6. 服务端解密信息
   服务端将客户端发送过来的加密信息用服务器私钥解密后，得到了客户端传过来的随机值
7. 服务器加密信息并发送信息
   服务器将数据利用随机值进行对称加密,再发送给客户端
8. 客户端接收并解密信息
   客户端用之前生成的随机值解密服务段传过来的数据，于是获取了解密后的内容

4、使用awk以冒号分隔获取/etc/passwd文件第一列

[root@centos8 ~]#cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
unbound:x:997:994:Unbound DNS resolver:/etc/unbound:/sbin/nologin
sssd:x:996:993:User for sssd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rngd:x:995:992:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
lee:x:1000:1000:lee:/home/lee:/bin/bash
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:994:991::/var/lib/chrony:/sbin/nologin
pcp:x:993:990:Performance Co-Pilot:/var/lib/pcp:/sbin/nologin

[root@centos8 ~]#awk -F: '{print $1}' /etc/passwd
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
operator
games
ftp
nobody
dbus
systemd-coredump
systemd-resolve
tss
polkitd
unbound
sssd
sshd
rngd
lee
postfix
chrony
pcp