SSH端口转发
SSH端口转发SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是ssh还能够将其他TCP端口的网络数据通过SSH连接来转发,并自动提供了相应的加密及解密服务。这一过程也被叫做隧道,这是应为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而于此同时,如果工作环境中的防火请限制了一些些网络端口的使用,但是允许SSh的连接,也能够通过将tcp端口转发来使用ssh进行通讯。
SSH端口转发能够提供两大功能:
1.加密SSH Client端至SSH Server端之间的通讯数据。
2.突破防火墙的限制完成一些之前无法家里的TCP连接。
命令格式:
12345678ssh -L localport: remotehost:remotehostport sshserverssh -R localport:remotehost:remotehostport sshserverssh -D localport root@sshserver -fNglocalpo ...
sshd的配置和优化
sshd的配置和优化sshd服务器端的配置文件为/etc/ssh_config
配置文件中的一些常用参数
常用参数
说明
port
监听端口号
ListenAddress ip
监听的IP地址
LoginGraceTime
发起连接后多少时间内必须登录超时断开连接
PermitRootLogin
是否允许root登录
StrictModes
检查.ssh/文件的所有者,权限等
MaxAuthTries
最大密码尝试次数
MaxSessions
同一连接的最大绘会话数
PubkeyAuthentication
基于Key验证
PermitEmptyPasswords
是否使用空口令登录
PasswordAuthentication
基于口令验证
GatewayPorts
ssh服务监听所使用的端口当网关使用
ClientAliveInterval
间隔多久客户端和服务器端没有操作就断开连接
ClientAliveCountMax
和上面那项一起使用为检查的次数
UseDNS
是否使用名称解析
GSSAPIAuthe ...
ssh服务
SSH服务ssh名字为secure shell,目前使用的版本号为2,所使用的端口号为tcp的22号端口,可以实现安全的远程登录。
ssh协议版本有v1版和v2版本:
v1是基于CRC-32做MAC,不安全,无法防止中间人攻击。
V2版本双方主机协议选择安全的MAC方式基于DH算法做密钥交换,基于RSA或DSA实现身份认证
ssh具体的软件实现为:Openssh和dropbear
OpenSSHopenssh是ssh的一种实现,它能允许远程系统经验证地加密安全访问。当用户远程连接ssh服务器时,会复制ssh服务器/etc/ssh/ssh_host_ecdsa_key.pub文件中的公钥到客户机的~/.ssh/know_hosts中。下次连接时会自动匹配相应私钥,不能匹配的将拒绝连接
ssh软件的组成
openssh是由openssh、openssh-clients、openssh-server这几个包组成。
由于ssh是基于C/S结构,所以它分别有客户端的配置和服务器端的配置。
openssh客户端一、配置文件ssh客户端的配置存放在/etc/ssh/ ...
pxe自动化安装系统
pxe自动化安装系统pxe自动化安装,所需要的服务有:dhcp服务器,tftp服务器,http服务器
pxe自动化安装,所需要的包组及相关安装文件有:syslinux以及自动化安装系统所需的应答文件selinux
实验说明:
本次实验以一台CentOS7作为dhcp服务器,tftp服务器,以及http服务器向本网段内的主机提供自动化安装CentOS系统
准备工作:
主机
系统
IP
CentOS7
CentOS7
192.168.73.120
一、安装dhcp服务、tftp-server服务、httpd服务及syslinux包组1[root@centos7 ~]# yum install dhcp tftp-server httpd syslinux -y
二、创建应答文件1.使用system-config-kickstart生成ks6.cfg
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647[root@centos7 ~]# s ...
文本处理三剑客之awk
awk简介awk是一个优良的文本处理工具,是Linux中文本三剑客之一,awk的名字取自于其创始人Alfred Aho、Peter Weinberger和Brain Kernighan三人姓式的首字母。
awk的功能及其强大,可以进行式样装入、流控制、数学运算符、进程控制语句甚至内置的变量和函数,他具备了一个完整语言所应有的几乎所有特性。
awk语法awk程序由BEGIN语句块、能够使用模式匹配的通用语句块、END语句块,共3部分组成
1awk [option] '[BEGIN{action;...}]pattern{action;...}[END{action;...}]' file
选项
说明
-F
指定分隔符
-f
指定awk程序文件
-v
变量赋值,每个变量都需要使用-v var=value来赋值
awk工作原理1.执行BEGIN{action;…}语句块中的语句BEGIN语句块在awk开始从输入流中读取的行之前被执行,这是个可选的语句块。2.从文件或标准输入中读取一 ...
cobbler自动化安装操作系统
cobbler自动安装操作系统cobbler是快速网络安装linux操作系统的服务,支持众多的Linux发行版:Red Hat、Fedora、CentOS、Debian、Ubuntu和SuSE,也可以支持网络安装windows
一、配置yum源cobbler所在的源是epel源所以先配置yum源
123456789[root@centos7 ~]# vim /etc/yum.repos.d/base.repo[base]name=basebaseurl=file:///mntgpgcheck=0[epel]name=epelbaseurl=http://mirrors.sohu.com/fedora-epel/7/x86_64gpgcheck=0
二、安装cobbler和dhcp服务1[root@centos7 ~]# yum install cobbler dhcp -y
三、启动相关服务并设置为开机启动12[root@centos7 ~]# systemctl enable rsyncd httpd tftp cobblerd dhcpd[root@centos7 ~]# ...
私有CA建立和证书申请
私有CA建立和证书生申请CA在创建时有规定的格式,详细需要参考/etc/pki/tls/openssl.cnf此文件存放了CA相关的一些配置信息。
以下为比较重要的2个相关配置:
1.此段为CA的详细目录结构
123456789101112131415161718192021222324####################################################################[ ca ]default_ca = CA_default # The default ca section####################################################################[ CA_default ]dir = /etc/pki/CA # Where everything is keptcerts = $dir/certs # Where the issued certs are ...
加密和安全
加密和安全常见的加密算法有和协议有对称加密,公钥加密,单向加密和认证协议
对称加密对称加密,在加密和解密时使用的是同一个密钥
常见的对称加密有:DES,3DES,AES,Blowfish,Twofish,IDEA,RC6,CAST5
对称密钥加密和解密的过程:数据发送方A和数据接收方B在发送数据前先通过某种渠道约定好密钥,然后A将明文的数据使用对称密钥进行加密,然后将加密后的数据发送给B,B接受到数据后使用相同的密钥对数据进行解密然后获取相应的数据
通过上述的加密和解密过程可以了解到这种加密的方法有以以下这些特点:1.数据加密和解密时使用同一组密钥
2.数据加密和机密时使用时间短效率高
3.将原始数据分割成固定大小的块,逐个进行加密
不难看出对称加密的缺点也是非常的明显:1.密钥过多:每一个数据对应的都需要使用一个不同的密钥进行加密,产生过多的密钥
2.密钥分发:密钥在分发的过程种存在安全性问题
3.数据的来源无法确认:由于谁都能对数据加同一密钥所以数据的来源性无法确认
非对称加密非对称加密的密钥是成对的出现的,其分为公钥和私钥
公钥(Public ...
破解root口令
破解root口令在生产环境中有时可能会遇到root口令丢失,遗忘挥着前任没有交接密码的情况,此时就需要进行破解root密码,centos6和centos7的口令破解方法略微不同,以下为演示6和7上破解密码的方法。
centos6破解口令centos6破解口令比较简单,由于单用户模式不需要密码就能登录root账户,所以只需要使用单用户模式登录就能轻易破解
1.重启机器在内核选择么模式下选中要启动的内核然后按a
2.在行的尾部追加一个1,s,S,或者single,进入单用户模式
3.进入单用户模式后修改密码
其他由于centos6破解root账户的方法过于简单,可以在选择内核界面时设置密码,不让普通用户可以随意选择启动模式。具体操作方法如下:
1.先使用grub-md5-crypt创建相应的密钥
1234[root@centos6 ~]# grub-md5-cryptPassword: Retype password: $1$tjgZK0$LWWBkM5dUP7EilY4/8AgE1
2.对/boot/grub/grub.conf文件进行修改
12345678910vim ...
编译安装linux-5.07内核
编译安装linux-5.07内核在生产环境中某些软件依赖于较新的内核,此时就需要将内核进行升级,以下为演示手动编译安装较新的5.07内核的方法。
一、下载内核至内核官方网站下载内核www.kernel.org
二、解压内核文件1[root@centos7 ~]# tar xf linux-5.0.7.tar.xz
三、准备.config文件由于内核编译需要依靠.config这个配置文件,可以在系统自带的config文件的基础上进行修改,系统自带的config文件在/boot目录下,需要将其复制到内核解压的目录下并改名为.config
1[root@centos7 ~]# cp /boot/config-3.10.0-957.el7.x86_64 ~/linux-5.0.7/.config
四、安装编译内核所需要的一些工具1[root@centos7 ~]# yum install gcc gcc-c++ glibc glibc-devel pcre pcre-devel ncurses-devel flex bison-devel bison perl-Test-Fatal ...