第8周作业

1、创建私有CA并进行证书申请。

1）证书申请的步骤

 1、生成证书申请请求
 2、RA核验
 3、CA签署
 4、获取证书

2）相关配置文件

openssl的配置文件：/etc/pki/tls/openssl.cnf

3）三种策略：match匹配、optional可选、supplied提供

match：要求申请填写的信息跟CA设置信息必须一致
optional：可有可无，跟CA设置信息可不一致
supplied：必须填写这项申请信息

4）创建私有CA

1、创建CA所需要的文件

#生成证书索引数据库文件
touch /etc/pki/CA/index.txt
#指定第一个颁发证书的序列号
echo 01 > /etc/pki/CA/serial 

2、 生成CA私钥

cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)

3.生成CA自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out    /etc/pki/CA/cacert.pem

5）申请证书并颁发证书

1、为需要使用证书的主机生成生成私钥
(umask 066; openssl genrsa -out   /data/test.key 2048)
2、为需要使用证书的主机生成证书申请文件
openssl req -new -key /data/test.key -out /data/test.csr
3、在CA签署证书并将证书颁发给请求者
openssl ca -in /data/test.csr  -out   /etc/pki/CA/certs/test.crt -days 100
4、查看证书中的信息：
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
#查看指定编号的证书状态
openssl ca -status SERIAL 

 

2、总结ssh常用参数、用法

常用参数：
port：指定端口
user：指定用户
-p (passwd)：指定密码
例：ssh root@10.0.0.2:22 -p123456

 

3、总结sshd服务常用参数。

sshd：openssh服务器守护进程。
服务器端：sshd
服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #生产建议修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者，权限等
MaxAuthTries 6 #pecifies the maximum number of authentication
attempts permitted per connection. Once the number of failures reaches half this
value, additional failures are logged. The default is 6.
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高速度可改为no
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups #未认证连接最大值，默认值10

#以下可以限制可登录用户的办法：
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2

 

4、搭建dhcp服务，实现ip地址申请分发

1、关闭vmware中的DHCP

 

  2、安装dhcp

[root@centos8 ~]# yum -y install dhcp-server

 

 3、 将服务启动

[root@centos8 ~]# systemctl enable --now dhcpd
[root@centos8 ~]# systemctl status dhcpd

 

发现出事了，竟然失败了，我们查看日志分析原因

[root@centos8 ~]# cat /var/log/messages

 

 还是配置文件出了问题，我们查看其配置文件

[root@centos8 ~]# vim /etc/dhcp/dhcpd.conf

 

 果然，里面什么都没有，只有几行注释，所以我们要自己配置，我们可以参考现成的文件在注释的第三行，将其拷过来并替代了

[root@centos8 ~]# cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf 

当然，我们再次重启服务

 

发现依旧起不来，所以我们还要对其进行修改，根据上面日志分析得知是确实了子网定义，将其修改即可

[root@centos8 ~]# vim /etc/dhcp/dhcpd.conf 

 

  再次尝试启动，发现起来了

 

 

 查看其监听端口

[root@centos8 ~]# ss -ntul

 

  但是我们还需要再次修改配置文件，分配地址

[root@centos8 dhcp]# vim /etc/dhcp/dhcpd.conf 

 

 重启服务：

[root@centos8 ~]# systemctl restart dhcpd
[root@centos8 ~]# systemctl status dhcpd

 

 

 我们可以开始获取地址：

 

 

 重启网卡：

nmcli con reload
nmcli con
nmcli con up "System eth0"

 

 

拿到地址

 

 

  当然作为dhcp服务器来讲还需要知道谁从本服务端获取地址

在/var/lib/dhcpd/目录下有个dhcpd.leases的文件就可以查看

 至此dhcp服务搞定！