首页 > 代码库 > linux 安全应用 2

linux 安全应用 2

一、selinux安全防护


DAC    自主访问控制   (rwx/acl   用户自己可以修改)

MAC   强制访问控制   (管理员对所有的资源负责)

            TCSEC标准定义的 MLS 多级安全

             SELinux   *

  

1.1 selinux介绍   

美国国家安全局主导开发,

一套强化Linux安全的MAC扩展模块

集成到Linux内核(2.6及以上)

操作系统提供可定制的策略、管理工具


主要软件包:

     selinux-policy

     selinux-policy-targeted、

     libselinux-utils、libselinux-utils、

     coreutils、policycoreutils


SELINUXTYPE=targeted

推荐,仅保护最常见/关键的网络服务,其他不限制


SELINUXTYPE=mls

提供多层次、全面的安全防护策略

需扩展软件包:

     selinux-policy-mls、mcstrans、

     policycoreutils-newrole


启用selinux

vim /etc/sysconfig/selinux

SELINUX=enforcing

SELINUXTYPE=targeted

:wq

reboot


[root@stu ~]# sestatus 

SELinux status:                 enabled

SELinuxfs mount:                /selinux

Current mode:                   enforcing

Mode from config file:          enforcing

Policy version:                 24

Policy from config file:        targeted

[root@stu ~]# getenforce 

Enforcing

[root@stu ~]# 


————————————————————————————————————————————————


上面的总结

————————————————————————————————————————————————

selinux是基于linux内核版本在2.6及以上的一种内核安全防护扩展模块,由美国国家安全局研发出来的.

[root@room1pc01 html]# uname -r

2.6.32-573.el6.x86_64

MAC 强制访问控制(管理员管理资源) 

DAC自主访问控制(用户管理资源)rwx/acl


[root@room1pc01 html]# rpm -qa |grep -i selinux(查看系统是否有selinux安全防护)




1.3  查看当前系统selinux状态

默认会有一个配置文件/etc/selinux/config,和链接/etc/sysconfig/selinux 

 6 SELINUX=permissive  (一般都是设置成这种,宽松警告)

 6 SELINUX=disabled     

 6 SELINUX=enforcing

 10 SELINUXTYPE=strict    

 10 SELINUXTYPE=targeted(一般这种,仅保护最常见/关键的网络服务,其他不限制)


[root@stu ~]# getenforce 

Permissive

[root@room1pc01 ~]# setenforce 1

[root@room1pc01 ~]# getenforce

Enforcing

[root@room1pc01 ~]# sestatus

SELinux status:                 enabled

SELinuxfs mount:                /selinux

Current mode:                   enforcing

Mode from config file:          permissive

Policy version:                 24

Policy from config file:        targeted







查看安全上下文

文件   ll   -Z   文件名     ll   -Z    /etc/passwd

目录   ll  -dZ  目录名     ll   -dZ   /

进程   ps  aux  -Z   |  grep  httpd


[root@room1pc01 ~]# ls -Zd /root

dr-xr-x---. root root system_u:object_r:admin_home_t:s0 /root

[root@room1pc01 ~]# ls -Zd /var/www/html

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html

[root@room1pc01 ~]# ls -Zd /tmp

drwxrwxrwt. root root system_u:object_r:tmp_t:s0       /tmp

[root@room1pc01 ~]# ls -Zd /var/ftp/

drwxr-xr-x. root root system_u:object_r:public_content_t:s0 /var/ftp/


用户:角色:访问类型:选项...

system_u:object_r:root_t:s0


一般操作规律

移动的文件,原有的上下文属性不变

复制的文件,自动继承目标位置的上下文

创建继承上级目录属性



++创建继承上级目录属性++

[root@room1pc01 ~]# mkdir my

[root@room1pc01 ~]# touch 1.txt

[root@room1pc01 ~]# ll -Zd 1.txt

-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 1.txt

[root@room1pc01 ~]# ll -Zd /root/my

drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 /root/my

[root@room1pc01 ~]# ll -Zd /root/

dr-xr-x---. root root system_u:object_r:admin_home_t:s0 /root/



+++复制的文件,自动继承目标位置的上下文 (保持属性拷贝也没用 还是会继承目标的属性)+++

[root@room1pc01 ~]# cp /root/1.txt /tmp/

[root@room1pc01 ~]# cp -r /root/my /tmp/

[root@room1pc01 ~]# ll -Zd /tmp

drwxrwxrwt. root root system_u:object_r:tmp_t:s0       /tmp

[root@room1pc01 ~]# ll -Zd /tmp/1.txt

-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/1.txt

[root@room1pc01 ~]# ll -Zd /tmp/my

drwxr-xr-x. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/my

[root@room1pc01 ~]# rm -fr /tmp/1.txt

[root@room1pc01 ~]# cp -p /root/1.txt /tmp/

[root@room1pc01 ~]# ll -Zd /tmp/1.txt

-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/1.txt


+++移动的文件目录,保持原来的上下文属性不变+++

[root@room1pc01 ~]# rm -fr /tmp/1.txt

[root@room1pc01 ~]# rm -fr /tmp/my

[root@room1pc01 ~]# mv /root/1.txt /tmp/

[root@room1pc01 ~]# mv /root/my /tmp/

[root@room1pc01 ~]# ll -Zd /tmp/1.txt

-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /tmp/1.txt

[root@room1pc01 ~]# ll -Zd /tmp/my

drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 /tmp/my

[root@room1pc01 ~]# ll -Zd /tmp

drwxrwxrwt. root root system_u:object_r:tmp_t:s0       /tmp






————————————

[root@room1pc01 ~]# ll -Z /var/www/html

-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 file.html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 link.html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 test.html



[root@room1pc01 ~]# firefox httpd:192.168.4.254:/test.html (能打开)


[root@room1pc01 ~]# firefox httpd:192.168.4.254:/file.html (不能打开) 不是网页内容属性文件


修改文件的安全上下文可以用chcon和restorecon 效果一样。


        chcon 修改工具

[root@room1pc01 ~]# chcon -t httpd_sys_content_t /var/www/html/file.html

[root@room1pc01 ~]# ll -Z /var/www/html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 1.html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 a.txt

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 file.html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 link.php

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 test.php


       restorecon 恢复工具

[root@room1pc01 ~]# ll -Z /var/www/html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 1.html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 a.txt

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 file.html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 link.php

-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 pp.html


[root@room1pc01 ~]# cd /var/www/html/

[root@room1pc01 html]# restorecon pp.html

[root@room1pc01 html]# ll -Z /var/www/html

-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 pp.html


————————————————————————

修改文件的安全上下文

chcon 工具

-t,指定访问类型

-u、-r,分别用来指定用户、角色

-R,递归修改


chcon   -t  访问类型  文件名   #修改某个文件的安全上下文

chcon  -R   -t  访问类型  目录名  #批量修改安全上下文 (把目录下文件的都修改了上下文)


chcon  -t  httpd_sys_content_t  /var/www/html/c2.html


恢复文件的安全上下文

restorecon 工具  恢复为所在位置的默认上下文属性

-R,递归修改


restorecon   d.html       #把这个文件恢复成当前父目录的上下文属性

restorecon   目录名/d.html

————————————————————————————————————————————————

1.4  SELinux布尔值 (功能开关)

getsebool    -a      #列出所有的bool值


修改布尔值

setsebool   -P    选项     on    #启用

setsebool   -P    选项     off    #关闭


setsebool   -P    选项=1    #启用

setsebool   -P    选项=0    #关闭


setsebool   -P    allow_ftpd_anon_write  on

setsebool   -P     allow_ftpd_full_access   on


安装selinux排错工具

[root@stu ftp]# yum  -y  install  setroubleshoot-server 


setroubleshoot-plugins  setroubleshoot


[root@stu ftp]# rpm  -qa  | grep setroubleshoot

setroubleshoot-server-3.0.47-9.1.el6.x86_64

setroubleshoot-3.0.47-9.1.el6.x86_64

setroubleshoot-plugins-3.0.40-2.el6.noarch

[root@stu ftp]# 

[root@stu ftp]#reboot


调出图形工具抓取报错信息

应用程序->系统工具->selinx .....

sealter  -b


查看日志 执行命令,获取错误信息

tail   -f    /var/log/message

Jun 29 09:51:57 room3pc31 setroubleshoot: SELinux is 


preventing /usr/sbin/vsftpd from write access on the 


directory pubdir. For complete SELinux messages. run 


sealert -l 933b8efd-0743-48c3-b7b0-b95233747cbc


[root@stu ftp]#sealert -l 933b8efd-0743-48c3-b7b0-


b95233747cbc










+++++++++++++++++++++++++++++++++++

二、加密、解密

2.1 为什么要给数据加密?(机密性 完整性)


(发送方)加密   明文  -> 密文  (加密就是把明文加密成密问)

(接收方)解密   密文  -> 明文   (解密就是把密问解密成明文)


加密算法   明文 变成 密文的 转换  规则

算法可以是 一种计算规则  、  指令  或  代码  (加密算法:可以是指令也可以是代码)



2.2 加密方式

对称加密:  加密/解密用同一个密钥 (对称:加解密使用相同的算法) 简单不安全

                  算法有:DES,Data Encryption Standard

                    AES,Advanced Encryption Standard



非对称加密  加密/解密用不同的密钥(密钥对) (非对称加密:加解密使用不同算法 有密钥对)

                                                           公钥和私钥

                                                            加       解

                  算法:RSA,Rivest Shamirh Adleman

                  DSA,Digital Signature Algorithm




加解密工具:   

gpg(开源的软件包 gnupg这个包提供) 对称加密解密  非对称加解密  数字签名  

 


[root@stu ~]# which gpg

/usr/bin/gpg

[root@stu ~]# rpm -qf /usr/bin/gpg

gnupg2-2.0.14-8.el6.x86_64

[root@stu ~]# gpg --help  查帮助(支持的算法  选项)


————————

1.对称加密解密 (lucy和tom,都是真机上用户密码都是123, 切到lucy和tom时候只能ssh -X lucy@192.168.4.254  不能su - tom,因为环境不对。)

————————

加密(发送方)lucy:


解密(接受方)tom:


[root@room1pc01 ~]# ssh -X lucy@"localhost"

lucy@localhost‘s password: 

/usr/bin/xauth:  creating new authority file /home/lucy/.Xauthority

[lucy@room1pc01 ~]$ 

[lucy@room1pc01 ~]$ pwd

/home/lucy

[lucy@room1pc01 ~]$ echo 123456 >lucy.txt

[lucy@room1pc01 ~]$ ls

lucy.txt

[lucy@room1pc01 ~]$ gpg -c lucy.txt

gpg: 已创建目录‘/home/lucy/.gnupg’

gpg: 新的配置文件‘/home/lucy/.gnupg/gpg.conf’已建立

gpg: 警告:在‘/home/lucy/.gnupg/gpg.conf’里的选项于此次运行期间未被使用

gpg: 钥匙环‘/home/lucy/.gnupg/pubring.gpg’已建立

can‘t connect to `/home/lucy/.gnupg/S.gpg-agent‘: 没有那个文件或目录

gpg-agent[11856]: 已创建目录‘/home/lucy/.gnupg/private-keys-v1.d’

[lucy@room1pc01 ~]$ ls

lucy.txt  lucy.txt.gpg

[lucy@room1pc01 ~]$ cp lucy.txt.gpg  /tmp/


[root@room1pc01 桌面]# ssh -X tom@192.168.4.254

tom@192.168.4.254‘s password: 

/usr/bin/xauth:  creating new authority file /home/tom/.Xauthority

[tom@room1pc01 ~]$ 

[tom@room1pc01 ~]$ pwd

/home/tom

[tom@room1pc01 ~]$ cd /tmp

[tom@room1pc01 tmp]$ ls

1.txt                  orbit-gdm

da                     orbit-root

evince-9817            pulse-2UwZ1k19YbcT

gedit.root.3964521678  pulse-5sTJqfwYxhm6

keyring-rOpg63         user.txt

keyring-vP2cP1         virtual-root.lwcQAF

lu                     VMwareDnD

lucy.txt.gpg           vmware-root

my                     wireshark_2_interfaces_20170226094957_f2G8IO

myvm.xml               yum_save_tx-2017-03-07-11-11_INSzh.yumtx

[tom@room1pc01 tmp]$ gpg -d lucy.txt.gpg 

gpg: 已创建目录‘/home/tom/.gnupg’

gpg: 新的配置文件‘/home/tom/.gnupg/gpg.conf’已建立

gpg: 警告:在‘/home/tom/.gnupg/gpg.conf’里的选项于此次运行期间未被使用

gpg: 钥匙环‘/home/tom/.gnupg/secring.gpg’已建立

gpg: 钥匙环‘/home/tom/.gnupg/pubring.gpg’已建立

gpg: 3DES 加密过的数据

can‘t connect to `/home/tom/.gnupg/S.gpg-agent‘: 没有那个文件或目录

gpg-agent[11903]: 已创建目录‘/home/tom/.gnupg/private-keys-v1.d’

gpg: 以 1 个密码加密

123456

gpg: 警告:报文未受到完整的保护



————————

2.非对称加解密:【(lucy和tom,都是真机上用户密码都是123, 切到lucy和tom时候只能ssh -X lucy@192.168.4.254  不能su - tom,因为环境不对。)要图形界面】 

————————

1)lucy

-传建密钥对

-导出公钥

2)tom

导入lucy的公钥

使用公钥加密发送文件

lucy使用私钥解密

实验:

[lucy@room1pc01 ~]$ rm -fr .gnupg/  (有就一般都先删掉 等创建公钥时会自动生成)

[lucy@room1pc01 ~]$ gpg --gen-key

gpg: 钥匙环‘/home/lucy/.gnupg/secring.gpg’已建立

请选择您要使用的密钥种类:

   (1) RSA and RSA (default)

   (2) DSA and Elgamal

   (3) DSA (仅用于签名)

   (4) RSA (仅用于签名)

您的选择? 

.....(一路默认 名字那里做个区分写真实的,后面还会用到)

.....

真实姓名:panglj

电子邮件地址:plj

注释:O

您选定了这个用户标识:

    “panglj (O) <plj@163>”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?o

您需要一个密码来保护您的私钥。(输入密码,记住这个密码)等它生成

.................

密钥指纹 = 87F8 DE00 93C6 3D6A 6AF8  1B16 94CD FC50 73FA C552

uid                  panglj (O) <plj@163>

sub   2048R/86A8B557 2017-03-07

公钥和私钥已经生成并经签名。(生成)


[lucy@room1pc01 .gnupg]$ pwd

/home/lucy/.gnupg

[lucy@room1pc01 .gnupg]$ ls

gpg.conf           pubring.gpg   random_seed  trustdb.gpg

private-keys-v1.d  pubring.gpg~  secring.gpg

[lucy@room1pc01 .gnupg]$ gpg -a --export  >/tmp/lucy.pub (把公钥拷贝到公共目录。让tom拷贝)



[tom@room1pc01 ~]$ rm -fr .gnupg/   (tom用户先把自己的这个目录删了,把lucy公钥拷贝到自己加下会自动生成该目录)

[tom@room1pc01 ~]$ gpg --import  /tmp/lucy.pub (拷贝lucy公钥)

.............

[tom@room1pc01 ~]$ ls -a

.   .bash_history  .bash_profile  .gnome2  .mozilla

..  .bash_logout   .bashrc        .gnupg   .Xauthority

[tom@room1pc01 ~]$ cd .gnupg/

[tom@room1pc01 .gnupg]$ ls

gpg.conf  pubring.gpg  pubring.gpg~  secring.gpg  trustdb.gpg

[tom@room1pc01 .gnupg]$ echo "1234567890" >tom.txt  (tom写一个文件)

[tom@room1pc01 .gnupg]$ gpg -e -r panglj tom.txt     把该文件加密(用户名是做密钥对时的留的用户名)

........................(输入yes 按提示)

[tom@room1pc01 .gnupg]$ ls

gpg.conf     pubring.gpg~  secring.gpg  tom.txt.gpg

pubring.gpg  random_seed   tom.txt      trustdb.gpg

[tom@room1pc01 .gnupg]$ cp tom.txt.gpg  /tmp/    (将加密好的复制到公共目录下,让lucy读取)


[lucy@room1pc01 ~]$ gpg -d /tmp/tom.txt.gpg         (在页面上显示解密后的内容,需要输做密钥时设的密码)

[lucy@room1pc01 ~]$ gpg -d /tmp/tom.txt.gpg >/home/lucy/t.txt (把解密后的内容定向到一个文件中再查看)

[lucy@room1pc01 ~]$ ls

lucy.txt  lucy.txt.gpg  t.txt

[lucy@room1pc01 ~]$ cat t.txt

1234567890



3.数字签名(私钥签名,公钥验证签名)

            lucy  tom


lucy:

使用私钥对文件做数字签名

把签名文件和源文件发送给对方


tom

使用公钥验证签名文件

验证文件是否是声称持有者发送过来的



[lucy@room1pc01 ~]$ echo "1212" >lu.txt

[lucy@room1pc01 ~]$ gpg -b lu.txt    (输入之前设置的密码做成签名)

您需要输入密码,才能解开这个用户的私钥:“panglj (O) <plj@163>”

2048 位的 RSA 密钥,钥匙号 73FAC552,建立于 2017-03-07


can‘t connect to `/home/lucy/.gnupg/S.gpg-agent‘: 没有那个文件或目录

[lucy@room1pc01 ~]$ ls

lucy.txt  lucy.txt.gpg  lu.txt  lu.txt.sig  t.txt

[lucy@room1pc01 ~]$ cp lu.txt /tmp/  (把文件和文件签名放到公共目录下)

[lucy@room1pc01 ~]$ cp lu.txt.sig /tmp


[tom@room1pc01 ~]$ cat /tmp/lu.txt       (tom可以看到文件内容和从文件签名看是否有损坏,内容是否有更改)

1212

[tom@room1pc01 ~]$ gpg --verify /tmp/lu.txt.sig

gpg: 于 2017年03月07日 星期二 15时29分17秒 CST 创建的签名,使用 RSA,钥匙号 73FAC552

gpg: 完好的签名,来自于“panglj (O) <plj@163>”

gpg: 警告:这把密钥未经受信任的签名认证!

gpg:       没有证据表明这个签名属于它所声称的持有者。

主钥指纹: 87F8 DE00 93C6 3D6A 6AF8  1B16 94CD FC50 73FA C552




————————————————————————————————————————————









——————————————————————————————————————



使用md5sum校验工具验证文件完整性  特点:当文件内容没变时md5生成的校验值一值保持同样长度不变,否则变化。(md5和gpg数字签名相比只能验证文件内容是否有更改,不能验证是谁发的)

[root@room1pc01 html]# cat a.txt

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

[root@room1pc01 html]# md5sum a.txt

2acf01edaaee1079d83086a3ed3305a1  a.txt

[root@room1pc01 html]# md5sum a.txt

2acf01edaaee1079d83086a3ed3305a1  a.txt

[root@room1pc01 html]# echo "123" >>a.txt

[root@room1pc01 html]# md5sum a.txt

4795332faee87af3d9685ac07b05bc56  a.txt

[root@room1pc01 html]# echo abc

abc

[root@room1pc01 html]# echo abc |md5sum

0bee89b07a248e27c83fc3d5951213c1  -

[root@room1pc01 html]# echo abc |md5sum

0bee89b07a248e27c83fc3d5951213c1  -

[root@room1pc01 html]# echo abc |md5sum

0bee89b07a248e27c83fc3d5951213c1  -

[root@room1pc01 html]# echo abcd |md5sum

f5ac8127b3b6b85cdc13f237c6005d80  -


保护信息的完整性

信息摘要:基于输入的信息生成长度较短、位数固定的散列值


Hash散列技术,用于信息摘要

MD5,Message Digest Algorithm 5

SHA,Secure Hash Algorithm


sha1sum  a.txt

md5sum  a.txt


gnupg介绍

GnuPG,GNU Privacy Guard

最流行的数据加密、数字签名工具软件


[root@stu ~]# which gpg

/usr/bin/gpg

[root@stu ~]# rpm -qf /usr/bin/gpg

gnupg2-2.0.14-8.el6.x86_64

[root@stu ~]# 


gpg --help  查帮助(支持的算法  选项)



对称加/解密过程 (加/解密 使用相同密钥)


加密

head  -2  /etc/passwd   > a.txt

gpg  -c  a.txt   (提示输入密码)


ls  a.txt.gpg  加密后的文件

rm  -rf  a.txt



解密

gpg  -d  a.txt.gpg   >  /tmp/user.txt (提示输入密码)

cat  /tmp/user.txt

++++++++++++++++++++++++++++++

非对称加/解密过程 (公钥加密/私钥解密)

userB 要  userA 使用非对称方式加密传输数据 


1 userB   生成密钥对

gpg  --gen-key (生成私钥时要求输入相关信息)    

ls  ~/.gnupg/



dd  if=/dev/zero  of=/dev/null    bs=1M count=500


2 userB 导出自己的公钥

gpg  -a  --export    >   /tmp/UserB.pub

  

suerB 把 公钥 给  userA  (不同机器间传输数据)



3  userA 导入userB的公钥

gpg  --import  /tmp/UserB.pub

ls  ~/.gnupg/



4 userA 使用公钥加密文件

echo  12344555  > /tmp/clear.txt

gpg  -e  -r  真实姓名   /tmp/clear.txt  

                   panglj


userA  把加密文件  传给  userB (不同机器间传输数据)


5 userB 使用自己的私钥解密

gpg  -d  /tmp/clear.txt.gpg  >  dclear.txt 

cat  dclear.txt

+++++++++++++++++++++++++++++++++++

GPG软件签名与验证

软件签名与验证过程

软件官方以私钥对软件包执行数字签名

用户下载软件包、软件官方的公钥

以官方公钥验证软件包签名,确保软件完整性



gpg  -b     生成一份分离的签名

gpg  --verify               验证签名

gpg --fingerprint          列出密钥和指纹


userB 

head -3  /etc/passwd   > userb.txt

gpg  -b  userb.txt


ls  userb.txt.sig  (签名文件)


mv   userb.txt  userb.txt.sig   /tmp/


userA

cd   /tmp/

gpg  --verify   userb.txt.sig

[userA@room3pc31 tmp]$ gpg --verify user2.txt.sig 

gpg: 于 2016年06月29日 星期三 14时59分43秒 PHT 创建的


签名,使用 RSA,钥匙号 A6D34AA0

gpg: 完好的签名,来自于“panglj (teacher) 


<plj@tedu.cn>”

gpg: 警告:这把密钥未经受信任的签名认证!

gpg:       没有证据表明这个签名属于它所声称的持有者。

主钥指纹: 87AB 6994 3F35 E6EA 4EA7  502B CCA6 


5CA3 A6D3 4AA0

[userA@room3pc31 tmp]$ 


echo  aaaa >>  user2.txt

[userA@room3pc31 tmp]$ gpg --verify user2.txt.sig 

gpg: 于 2016年06月29日 星期三 14时59分43秒 PHT 创建的


签名,使用 RSA,钥匙号 A6D34AA0

gpg: 已损坏的签名,来自于“panglj (teacher) 


<plj@tedu.cn>”

[userA@room3pc31 tmp]$ 




[userB@room3pc31 ~]$ gpg  --fingerprint

/home/userB/.gnupg/pubring.gpg

------------------------------

pub   2048R/A6D34AA0 2016-06-29

密钥指纹 = 87AB 6994 3F35 E6EA 4EA7  502B CCA6 


5CA3 A6D3 4AA0

uid                  panglj (teacher) <plj@tedu.cn>

sub   2048R/6CD5F831 2016-06-29


[userB@room3pc31 ~]$ 

主钥指纹: 87AB 6994 3F35 E6EA 4EA7  502B CCA6 


5CA3 A6D3 4AA0


密钥指纹 = 87AB 6994 3F35 E6EA 4EA7  502B CCA6 


5CA3 A6D3 4AA0

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++



搭建CA服务器

1   CA 介绍 (CA,Certificate Authority)

数字证书授权中心

被通信双方信任的、独立的第三方机构

负责证书颁发、验证、撤销等管理工作


国内常见的CA机构

中国金融认证中心(CFCA)

中国电信安全认证中心(CTCA)

北京数字证书认证中心(BJCA)


CA用来给服务器颁发数字证书

一般也可自己搭建一个私有CA服务器  



 openssl 加密工具

#openssl  enc  -des3  -e  -in  f1.txt  -out  f1.txt.enc  加密

# openssl  enc  -des3  -d  -in  f1.txt.enc  -out  f1.txt  解密



2  CA做什么(发数字证书的机构)



PKI体系的基本组成

权威认证机构(CA)

数字证书库、密钥备份及恢复系统

证书作废系统、应用接口



对称加密

enc 算法  -e  -in  输入文件  -out  输出文件

enc 算法  -d  -in  输入文件  -out  输出文件


[root@svr5 ~]# openssl  enc  -des3  -e  -in  f1.txt  -out  


f1.txt.enc

enter des-ede3-cbc encryption password:  


//设置口令

Verifying - enter des-ede3-cbc encryption password:


[root@svr5 ~]# openssl  enc  -des3  -d  -in  f1.txt.enc  -


out  f1.txt

enter des-ede3-cbc decryption password:  


————————————————————————————————————————


————————————————————————————————————————


CA机构(CA服务器)是用来给公司服务器颁发数字证书的。有权威的也有私有自己搭建的。


使用IP地址是X.X.X.88主机做CA服务器

整体部署思路

第一步:配置CA签署环境(给客户端发证的默认配置)

/etc/pki/tls/openssl.cnf

第二步:为CA服务器生成私钥(创建密钥对)

第三步:为CA服务器创建根证书 (生成自己的根证书文件)

第四步:发布根证书文件(把自己的根证书共享给客户端)

第五步:客户端下载根证书


[root@svr7 CA]# man openssl

++++++++++++++++++++++++++++++++


1.部署签发环境:(做一个私有CA服务器用,来给别的公司服务器发数字证书)192.168.4.99

[root@svr7 ~]# ls /etc/pki/tls/openssl.cnf 

/etc/pki/tls/openssl.cnf

[root@svr7 ~]# rpm -qf /etc/pki/tls/openssl.cnf

openssl-1.0.1e-42.el6.x86_64


[root@svr7 ~]# cd /etc/pki/CA/

[root@svr7 CA]# touch  index.txt   (证书的内容保存文件)

[root@svr7 CA]# ls

certs  crl  index.txt  newcerts  private

[root@svr7 CA]# echo 01 > serial

[root@svr7 CA]# cat serial  (创建一个文件用来记录证书的个数,做第二个证书的时候会自动加)

01

[root@svr7 CA]# ls

certs  crl  index.txt  newcerts  private  serial


[ CA_default ]

 41 

 42 dir             = /etc/pki/CA           # Where everything is kept

 43 certs           = $dir/certs            # Where the issued certs are kept

 44 crl_dir         = $dir/crl              # Where the issued crl are kept

 45 database        = $dir/index.txt        # database index file.


 48 new_certs_dir   = $dir/newcerts         # default place for new certs.


 50 certificate     = $dir/my-ca.crt        # The CA certificate

 51 serial          = $dir/serial           # The current serial number

 52 crlnumber       = $dir/crlnumber        # the current crl number


 54 crl             = $dir/crl.pem          # The current CRL

 55 private_key     = $dir/private/my-ca.key # The private key

 56 RANDFILE        = $dir/private/.rand    # pri


130 countryName_default             = CN


135 stateOrProvinceName_default     = beijing



141 0.organizationName_default      = tarena


148 organizationalUnitName_default  = ope



2.创建私钥文件:/etc/pki/CA/private/my-ca.key

[root@svr7 private]# pwd

/etc/pki/CA/private


[root@svr7 private]# openssl genrsa -des3 2048 >my-ca.key  (创建私钥,并导入到私钥文件,记住密码)

Generating RSA private key, 2048 bit long modulus

......................+++

..+++

e is 65537 (0x10001)

Enter pass phrase:

Verifying - Enter pass phrase:


3.使用私钥创建根证书文件


[root@svr7 private]# cd /etc/pki/CA

[root@svr7 CA]# openssl req -new -x509 -key /etc/pki/CA/private/my-ca.key -days 365 > my-ca.crt   (使用私钥创建根证书文件   -x509格式)

[root@svr7 CA]# ls

certs  crl  index.txt  my-ca.crt  newcerts  private  serial

[root@svr7 CA]# cat my-ca.crt  (证书生成)

-----BEGIN CERTIFICATE-----

MIID1zCCAr+gAwIBAgIJALAPCx/Wdm/lMA0GCSqGSIb3DQEBBQUAMIGBMQswCQYD

VQQGEwJDTjEQMA4GA1UECAwHYmVpa

-----END CERTIFICATE-----



4.把证书文件共享给客户端 (就是把CA私有机构给服务器做的根证书发给该服务 但这里CA服务器和认证的一台,效果是一样的把根证书文件共享到服务器的目录下)


[root@svr7 CA]# yum -y install httpd

[root@svr7 CA]# mkdir /var/www/html/ca

[root@svr7 CA]# cp my-ca.crt  /var/www/html/ca/

[root@svr7 CA]# ls /var/www/html/ca/my-ca.crt 

/var/www/html/ca/my-ca.crt

[root@svr7 CA]# ls /var/www/html/ca/my-ca.crt -l

-rw-r--r--. 1 root root 1391 3月   6 23:37 /var/www/html/ca/my-ca.crt

[root@svr7 CA]# service httpd start

[root@svr7 CA]# chkconfig httpd on


5.客户端下载根证书


[tom@room1pc01 ~]$ ping 192.168.4.99 

[tom@room1pc01 ~]$ firefox http://192.168.4.99/ca

 在打开的页面中 下载证书。


——————————————————————————————————————————————————————————————————————

___________________________________________________________________________________________________________________________________________________________




一 配置网站HTTP SSL (192.168.4.100)

网站服务器:

1.运行网站服务

# yum -y install httpd

# service httpd restart

# chkconfig httpd on


2.创建私钥文件

# cd /etc/pki/tls/private/

# openssl genrsa 2048 > www.key (生成私钥,什么服务私钥就起什么名好记,记住密码) 1生成密码字符最好是1024的整数倍

# ls

www.key

# cat www.key 

-----BEGIN RSA PRIVATE KEY-----

MIIEowIBAAKCAQEApgz2xBeEs151p3dMGmj13pbicS5JGd1cMWiMryUjaRgJPRWF

..



3.创建证书请求文件

#cd /etc/pki/tls/private/

# openssl req -new -key www.key > /root/www.csr

.........

Common Name (eg, your name or your server‘s hostname) []:stu.tedu.cn  (填的一定是公司服务器主机名 /etc/sysconfig/network 所对应的)

........


4.把证书请求文件上传给CA服务器

[root@100 private]# scp /root/www.csr root@192.168.4.99:/root/





二.CA服务器:(192.168.4.99)

签收数据证书

[root@svr7 ~]# ls /root/www.csr 

/root/www.csr

[root@svr7 ~]# cd /etc/pki/CA/

[root@svr7 CA]# ls

certs  crl  index.txt  my-ca.crt  newcerts  private  serial

[root@svr7 CA]# cat index.txt 

[root@svr7 CA]# cat serial 

01

[root@svr7 CA]# cd certs/

[root@svr7 certs]# ls


[root@svr7 certs]# openssl ca -in /root/www.csr  > www.crt  (输入密码 按y)

[root@svr7 CA]# cat serial

02

[root@svr7 CA]# cat index.txt

V 180306163836Z 01 unknown /C=CN/ST=beijing/O=tarena/OU=ope

[root@svr7 certs]# ls

www.csr

[root@svr7 certs]# cat www.crt

Certificate:

 ..............



三.把证书下发给web服务器(192.168.4.99)

[root@svr7 certs]# scp www.crt root@192.168.4.100:/root/




四.给网站加密:(web服务器192.168.4.100) 



#netstat  -utnalp  | grep :443(此时没有443端口)


#rpm  -q  mod_ssl      


#yum  -y  install  mod_ssl


#vim /etc/httpd/conf.d/ssl.conf

18   Listen  443

<VirtualHost  _default _:443>

    SSLEngine on

105 SSLCertificateFile /etc/pki/tls/certs/www.crt

112 SSLCertificateKeyFile /etc/pki/tls/private/www.key

</VirtualHost>

:wq


#mv /root/www.crt /etc/pki/tls/certs/

# service httpd stop


# service httpd stop

# service httpd start


#netstat  -utnalp  | grep :443 (能够查看到443端口)


#netstat  -utnalp  | grep :80 (能够查看到80端口)

# echo "123" >/var/www/html/test.html


    


五(客户机测试192.168.4.254)



[root@room1pc01 桌面]# vim /etc/hosts


192.168.4.100  stu.tedu.cn   stud

[root@room1pc01 桌面]# firefox http://stu.tedu.cn/test.html (能打开)

[root@room1pc01 桌面]# firefox http://192.168.4.100/test.html (能打开)

[root@room1pc01 桌面]# firefox https://stu.tedu.cn/test.html  (能打开,让先下证书)



(生产工作中,客户访问web加密网站,下载根证书在CA下或在本地web下,是程序员在网页代码中写的,运维只需把服务搭出来。就像客户在淘宝支付时,需要下一个认证/插件,在哪个位置下一样,这是程序员指定的)



六.客户机测试 (192.168.4.254)  

1 从CA下载根证书 (http://CA-ip/ca)

[root@room1pc01 桌面]#firefox http://192.168.4.99/ca 



2访问

[root@room1pc01 桌面]# firefox https://stu.tedu.cn/test.html(不用再在这下载证书,直接打开,打开的是https)

[root@room1pc01 桌面]# firefox http://stu.tedu.cn/test.html (也直接打开打开的是http)


{80 http://web-ip/test.html

443 https://web-ip/test.html}


七.地址重写:(web网站192.168.4.100)


配置网站服务器  把接收到的访问80端口的请求自动重定向到443端口 (http---->https)

vim  /etc/httpd/conf/httpd.conf   (也可在 /etc/httpd/conf/ssl.conf写,都一样)

.....

<IfModule ssl_module>

    SSLRandomSeed  startup  builtin

    SSLRandomSeed  connect  builtin

</IfModule>

RewriteEngine  on

RewriteCond  %{SERVER_PORT}  !^443$

RewriteRule  (.*)  https://%{SERVER_NAME}/$1  [R]

:wq

/etc/init.d/httpd restart



八.客户机测试 (192.168.4.254)

[root@room1pc01 桌面]# firefox https://stu.tedu.cn/test.html(打开的是https)

[root@room1pc01 桌面]# firefox http://stu.tedu.cn/test.html (打开的是http)


——————————————————————————————————————————————————————————————————————————————



2.邮件服务TLS/SSL (192.168.4.101)


邮件服务器的配置

2.1运行收邮件的服务 service dovecot start

2.2运行发邮件的服务 service postfix start

2.3测发能否收发本地域的邮件 localhost

jim@localhost 发件人

tom@localhost 收件人

2.4传建私钥文件 mail.key

#openssl genrsa 2048 > mail.key

2.5创建证书请求文件 mail.csr

2.6把证书请求文件上传给CA服务器


CA服务器的配置

1 签发数字证书 mail.crt

2 把证书下发给mail服务器


3 设置邮件服务器在运行时加载私钥文件和数字文件

3.1配置收邮件服务 110   143     995    993

             pop3 imap  pop3s imaps


3.2配置发邮件服务 stmp  25

3.3重启服务


4配置客户端

在客户端软件里配置连接邮件服务时,选择使用的端口号



+++++++++++++

实验:

[root@101 conf.d]# yum -y install postfix dovecot

[root@101 conf.d]# rpm -q postfix

postfix-2.6.6-6.el6_5.x86_64

[root@101 conf.d]# rpm -q dovecot

dovecot-2.0.9-19.el6.x86_64


[root@101 ~]# vim /etc/postfix/main.cf 

419 home_mailbox = Maildir/


[root@101 conf.d]# pwd

/etc/dovecot/conf.d

[root@101 conf.d]# vim 10-mail.conf

24 mail_location = maildir:~/Maildir


[root@101 ~]# service postfix start

[root@101 ~]# service dovecot start


[root@101 ~]# netstat -anptu |grep :25

tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1765/master         

tcp        0      0 ::1:25                      :::*                        LISTEN      1765/master     


[root@101 ~]# netstat -anptu |grep dovecot

tcp        0      0 0.0.0.0:993     imaps(加密后)            0.0.0.0:*                   LISTEN      2872/dovecot        

tcp        0      0 0.0.0.0:995     pop3s            0.0.0.0:*                   LISTEN      2872/dovecot        

tcp        0      0 0.0.0.0:110   (pop3)              0.0.0.0:*                   LISTEN      2872/dovecot        

tcp        0      0 0.0.0.0:143     (imap)            0.0.0.0:*                   LISTEN      2872/dovecot        

tcp        0      0 :::993                      :::*                        LISTEN      2872/dovecot        

tcp        0      0 :::995                      :::*                        LISTEN      2872/dovecot        

tcp        0      0 :::110                      :::*                        LISTEN      2872/dovecot        

tcp        0      0 :::143                      :::*                        LISTEN      2872/dovecot        




[root@101 ~]# cd /etc/dovecot/

[root@101 dovecot]# cd conf.d/

[root@101 conf.d]# vim 10-mail.conf 

[root@101 conf.d]# vim 10-ssl.conf 

[root@101 conf.d]# sed -n ‘12,13p‘ 10-ssl.conf 

ssl_cert = </etc/pki/dovecot/certs/dovecot.pem

ssl_key = </etc/pki/dovecot/private/dovecot.pem

[root@101 conf.d]# ls /etc/pki/dovecot/certs/

dovecot.pem

[root@101 conf.d]# ls /etc/pki/dovecot/private/

dovecot.pem


[root@101 conf.d]# useradd tom

[root@101 conf.d]# useradd jim

[root@101 conf.d]# echo 123 |passwd --stdin tom

更改用户 tom 的密码 。

passwd: 所有的身份验证令牌已经成功更新。

[root@101 conf.d]# echo 123 |passwd --stdin jim

更改用户 jim 的密码 。

passwd: 所有的身份验证令牌已经成功更新。



[root@101 conf.d]# yum -y install telnet (下载连接邮件服务器工具)



[root@101 conf.d]# telnet localhost 25 (发邮件 jim)

Trying ::1...

Connected to localhost.




[root@101 ~]# telnet localhost 110   (接邮件 tom)

Trying ::1...

Connected to localhost.

Escape character is ‘^]‘.

+OK Dovecot ready.

user tom

+OK

pass 123

+OK Logged in.

list

+OK 0 messages:

.

quit



[root@101 ~]# openssl genrsa 2048 > mail.key  (传建私钥文件)



[root@101 ~]# openssl req -new -key mail.key > mail.csr (生成证书请求文件)


[root@svr7 ~]# cd /etc/pki/CA/

[root@svr7 CA]# cat serial

02

[root@svr7 certs]# openssl ca -in /root/mail.csr   > mail.crt

[root@svr7 CA]# cat index.txt

V 180306163836Z 01 unknown /C=CN/ST=beijing/O=tarena/OU=ope/CN=stu.tedu.cn/emailAddress=jing@tedu.cn

V 180307190945Z 02 unknown /C=CN/ST=beijing/O=tarena/OU=ope/CN=stu.tedu.cn/emailAddress=yaya@tedu.cn

[root@svr7 CA]# cat serial

03

[root@svr7 certs]# scp mail.crt root@192.168.4.101:/root/   (把证书请求文件上传给CA服务器)





[root@101 ~]# vim /etc/dovecot/conf.d/10-ssl.conf

 12 ssl_cert = </etc/pki/dovecot/certs/mail.crt

 13 ssl_key = </etc/pki/dovecot/private/mail.key

[root@101 ~]# sed -n ‘12,13p‘ /etc/dovecot/conf.d/10-ssl.conf 

ssl_cert = </etc/pki/dovecot/certs/mail.crt

ssl_key = </etc/pki/dovecot/private/mail.key

[root@101 ~]# cp /root/mail.key /etc/pki/dovecot/private/

[root@101 ~]# cp /root/mail.crt /etc/pki/dovecot/certs

[root@101 ~]# service dovecot restart

停止 Dovecot Imap:                                        [确定]

正在启动 Dovecot Imap:                                    [确定]

[root@101 ~]# netstat -anptu |grep dovecot




[root@101 ~]# postconf (查看帮助,配置项怎么写) 发信 

[root@101 ~]# vim /etc/postfix/main.cf 


675 readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES

676 

677 smtpd_use_tls = yes

678 smtpd_tls_key_file = /etc/pki/tls/private/mail.key

679 smtpd_tls_cert_file = /etc/pki/tls/certs/mail.crt













————————————————————————————————————————————————————


3扫描与抓包

3.1端口扫描(nmap)

 

3.2抓包(tcpdump)


3.3协议分析工具(wireshark)


扫描方式:scan主动探测 sniff被动监听  capture 数据包抓包 




1.常用格式:(扫描)

[root@room1pc01 桌面]# yum -y install nmap

[root@room1pc01 桌面]# which nmap

/usr/bin/nmap

[root@room1pc01 桌面]# man nmap


[root@room1pc01 桌面]# nmap -sP 172.40.55.244

Starting Nmap 5.51 ( http://nmap.org ) at 2017-03-08 14:22 CST

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn   (检查这台主机是否在现,没有)

Nmap done: 1 IP address (0 hosts up) scanned in 0.44 seconds


[root@room1pc01 桌面]# nmap -sP 172.40.55.127 (检查这台主机是否在现)

Starting Nmap 5.51 ( http://nmap.org ) at 2017-03-08 14:19 CST

Nmap scan report for 172.40.55.127

Host is up (0.00019s latency).          (检查这台主机是否在现)

MAC Address: FC:AA:14:CD:F5:AC (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.06 seconds

[root@room1pc01 桌面]# ping 172.40.55.127

PING 172.40.55.127 (172.40.55.127) 56(84) bytes of data.

64 bytes from 172.40.55.127: icmp_seq=1 ttl=64 time=0.928 ms

^C

--- 172.40.55.127 ping statistics ---


[root@room1pc01 桌面]# nmap -A 172.40.55.127 (整台扫描)

[root@room1pc01 桌面]# namp -sT -p 80 172.40.55.127 172.40.55.104


[root@room1pc01 桌面]# nmap -sT -p 20-80,443 172.40.55.127 172.40.55.104


[root@room1pc01 桌面]# nmap -sT -p 20-80,443  172.40.55.104-110


[root@room1pc01 桌面]# nmap -sU -p 20-80,443  172.40.55.0/24


[root@room1pc01 桌面]# nmap -sP   172.40.55.0/24


[root@room1pc01 桌面]# nmap -sP -iL ip.txt   (ip.txt 中先写入ip)

[root@room1pc01 桌面]# nmap -sT -p 110  -iL ip.txt 


[root@room1pc01 桌面]# nmap -sP   172.40.55.100-130 --exclude 172.40.55.103-105

[root@room1pc01 桌面]# nmap -sT -p 80,110   172.40.55.100-130 --exclude 172.40.55.103-105


[root@room1pc01 桌面]# nmap -sT -p 80,110   172.40.55.100-130 --excludefile ip.txt (不扫描这个文件中的)


[root@room1pc01 桌面]# nmap -sT -p 80  172.40.55.119 |grep open

80/tcp open  http









ip地址  172.40.55.$ip


重复执行的操作:

vim httpd.sh

#!/bin/bash

while :

do

x=0

for ip in 103 105 107 127 110 102

do


nmap -sT -p 80 172.40.55.$ip | grep -q open 

if [ $? -eq 0 ];then

     echo "172.40.55.$ip   web is ok"

else

     echo "172.40.55.$ip web is stop"

     echo "172.40.55.$ip  >> /tmp/ipdown.txt

     let x++


fi

done


mail -s "weberror" root < /tmp/ipdown.txt


echo "web down host is $x"


sleep 600


done 



chmod +x httpd.sh


httpd.sh &


+++++++++++++++++++++++++++


vim httpd.sh

#!/bin/bash


x=0

echo "web down is " > /tmp/ipdown.txt

for ip in 103 105 107 127 110 102

do


nmap -sT -p 80 172.40.55.$ip | grep -q open 

if [ $? -eq 0 ];then

     echo "172.40.55.$ip   web is ok"

else

     echo "172.40.55.$ip web is stop"     

     echo "172.40.55.$ip  >> /tmp/ipdown.txt

     let x++

fi

done

lines=`wc -l  /tmp/ipdown.txt |awk ‘{print $1}‘ `

if [ $lines -gt 1 ];then 

mail -s "weberror" root < /tmp/ipdown.txt

fi


echo "web down host is $x"


rm -rf /tmp/ipdown.txt


:wq


chmod +x httpd.sh


cron -e

*/10  *  *  *  *  /root/httpd.ssh  

service crond restart


查看邮件:

[root@room1pc01 桌面]# vim /etc/postfix/main.cf

419 home_mailbox = Maildir/


[root@room1pc01 桌面]# mail -f /home/httpadmin/

.bash_logout   .bashrc        Maildir/       

.bash_profile  .gnome2/       .mozilla/      

[root@room1pc01 桌面]# mail -f /home/httpadmin/Maildir/

Heirloom Mail version 12.4 7/29/08.  Type ? for help.

"/home/httpadmin/Maildir/": 1 message 1 new

>N  1 root                  Wed Mar  8 20:00  20/589   "weberror"





















++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

2.TCPDUMP抓包(tcpdump)


[root@room1pc01 桌面]# which tcpdump

/usr/sbin/tcpdump

[root@room1pc01 桌面]# rpm -qf /usr/sbin/tcpdump

tcpdump-4.0.0-5.20090921gitdf3cb4.2.el6.x86_64

[root@room1pc01 桌面]# yun -y install tcpdump


[root@room1pc01 桌面]# man  tcpdump



[root@room1pc01 桌面]# tcpdump  (开始抓整个)

[root@room1pc01 桌面]# tcpdump  -A  (抓的显示出屏幕上)

[root@room1pc01 桌面]# tcpdump  -A -w /tmp/a.cap  (抓 w保存文件里)

[root@room1pc01 桌面]# tcpdump  -A -r /tmp/a.cap   (r读出来)



-i    -A    -w   -r

[root@room1pc01 桌面]# tcpdump  -A -w /tmp/1.txt  tcp port 110


[root@room1pc01 桌面]# tcpdump  -A -r /tmp/1.txt  |grep -i  --color user

[root@room1pc01 桌面]# tcpdump  -A -r /tmp/1.txt  |grep -i  --color pass


[root@room1pc01 桌面]# tcpdump  -A tcp portrange 20-21

[root@room1pc01 桌面]# tcpdump  -A tcp portrange 20-21 and host 192.168.4.101 (只抓101这台)



____________________________________________________________________________________________________________________________________________________________

————————————————————————————————————————————————————————————————————————

抓包实验,192.168.4.101开启抓包,让192.168.4.7访问它ftp抓把。保存在文件中。

[root@101 ~]# tcpdump -A -w /tmp/t.txt tcp portrange 20-21 

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

^C36 packets captured


[root@svr7 opt]# ftp 192.168.4.101

Connected to 192.168.4.101 (192.168.4.101).

220 (vsFTPd 2.2.2)

Name (192.168.4.101:root): ftp

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

227 Entering Passive Mode (192,168,4,101,197,237).

150 Here comes the directory listing.

-rw-r--r--    1 0        0               4 Mar 08 00:48 1.txt

drwxr-xr-x    2 0        0            4096 Mar 06  2015 pub

226 Directory send OK.

ftp> get 1.txt

local: 1.txt remote: 1.txt

227 Entering Passive Mode (192,168,4,101,106,217).

150 Opening BINARY mode data connection for 1.txt (4 bytes).

226 Transfer complete.

4 bytes received in 0.000489 secs (8.18 Kbytes/sec)

ftp> quit

221 Goodbye.



[root@101 ~]# tcpdump -A -w /tmp/t.txt tcp portrange 20-21 

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes


(按ctrl+c,保存退出)


^C36 packets captured

36 packets received by filter

0 packets dropped by kernel


[root@101 ~]# tcpdump -A -r /tmp/t.txt  (把抓到的在屏幕中显示)

reading from file /tmp/t.txt, link-type EN10MB (Ethernet)

09:00:17.542583 IP 192.168.4.7.58623 > 192.168.4.101.ftp: 

E..<.4@.@..........e.......?......9............

............

...........................................


[root@101 ~]# tcpdump -A -r /tmp/t.txt |grep -i --color pass  (在抓包文件中检索密码)

reading from file /tmp/t.txt, link-type EN10MB (Ethernet)

.i......331 Please specify the password.

...0.i..PASS ftp

.i.....y227 Entering Passive Mode (192,168,4,101,197,237).

.i.D....227 Entering Passive Mode (192,168,4,101,106,217).


————————————————————————————————————————————————————————————————

____________________________________________________________________________________________________________________________________________________


网络中用来抓包,协议分析工具是用wireshark,俗称网络鲨鱼,装好后。在应用程序里可以把这个软件打开,是用图形界面显示的,所以装的时候要有图形。抓到包后,这图形上面显示抓到的包,下面显示这个包经过的物理层,数据链路层,网络层和传输层。最下面显示的是点开哪一层,都会详细信息。(公司生产环境中抓包,一般抓的是装防火墙的这台服务器。



3.3协议分析工具(wireshark)(网络鲨鱼)


[root@room1pc01 桌面]# yum -y install wireshark wireshark-gnome

[root@room1pc01 桌面]# rpm -qa |grep shark

wireshark-gnome-1.8.10-17.el6.x86_64

wireshark-1.8.10-17.el6.x86_64





osi(开放系统互联) 物理层(网卡) 数据链路层(交换) 网络层(路由,三层)  传输层 (udp视频音频适合   tcp  )  会话   表示层  应用 http ftp smtp




IP包里都包含哪些信息:目标地址 源地址 目标端口  源端口    



tcp标记位 : 建立连接SYN  确认ACK   断开FIN  发送数据PUSH   重新连接RST



tcp/ip 四层:

物理层(比特流)  网络层(包)  传输层(段) 应用层(协议层)


为什么给ip包分段:因为数据包可能比较大,路由过不去只能分段,每个数据包会有tcp标记,。




ftp(下载20 主动) ftp(访问21 被动)
































CA机构(CA服务器)是用来给公司服务器颁发数字证书的。有权威的也有私有自己搭建的。


使用IP地址是X.X.X.88主机做CA服务器

整体部署思路

第一步:配置CA签署环境(给客户端发证的默认配置)

/etc/pki/tls/openssl.cnf

第二步:为CA服务器生成私钥(创建密钥对)

第三步:为CA服务器创建根证书 (生成自己的根证书文件)

第四步:发布根证书文件(把自己的根证书共享给客户端)

第五步:客户端下载根证书


1

[root@stu ~]# rpm -qf   /etc/pki/tls/openssl.cnf

openssl-1.0.1e-42.el6.x86_64

[root@stu ~]#


vim   /etc/pki/tls/openssl.cnf

40 [ CA_default ]

42 dir             = /etc/pki/CA

43 certs           = $dir/certs

45 database        = $dir/index.txt

50 certificate     = $dir/my-ca.crt

55 private_key     = $dir/private/my-ca.key


84 [ policy_match ]

 85 countryName             = match

 86 stateOrProvinceName     = match

 87 organizationName        = match

 88 organizationalUnitName  = optional

 89 commonName              = supplied

 90 emailAddress            = optional


128 [ req_distinguished_name ]

130 countryName_default             = CN

135 stateOrProvinceName_default     = beijing

138 localityName_default    = beijing

141 0.organizationName_default      = tarena

148 organizationalUnitName_default  = ope

:wq




touch  /etc/pki/CA/index.txt

echo  01  >  /etc/pki/CA/serial    


2

cd  /etc/pki/CA/private/

]# openssl  genrsa  -des3  2048  >  my-ca.key

     chmod  600  my-ca.key



3

cd   /etc/pki/CA/private/

openssl req   -new  -x509  -key  my-ca.key  -days 365  >  


../my-ca.crt



[root@stu private]# openssl req   -new  -x509  -key  


my-ca.key  -days 365 > ../my-ca.crt

Enter pass phrase for my-ca.key:

You are about to be asked to enter information that will 


be incorporated

into your certificate request.

What you are about to enter is what is called a 


Distinguished Name or a DN.

There are quite a few fields but you can leave some 


blank

For some fields there will be a default value,

If you enter ‘.‘, the field will be left blank.

-----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [beijing]:

Locality Name (eg, city) [beijing]:

Organization Name (eg, company) [tarena]:

Organizational Unit Name (eg, section) [ope]:

Common Name (eg, your name or your server‘s 


hostname) []:ca.tedu.cn

Email Address []:plj@tedu.cn

[root@stu private]#


[root@stu CA]# ls /etc/pki/CA/my-ca.crt 

/etc/pki/CA/my-ca.crt

[root@stu CA]#


4

rpm  -q  httpd  ||  yum  -y  install  httpd

mkdir  /var/www/html/certs/

cp  /etc/pki/CA/my-ca.crt   /var/www/html/certs/

service   httpd   start

本文出自 “12336621” 博客,请务必保留此出处http://12346621.blog.51cto.com/12336621/1905291

linux 安全应用 2