加密与安全

概述

Linux内的邮件服务：postfix，监听端口smtp 25端口

DDOS攻击：泛洪攻击，flood，能够在短时间内发送大量的TCP包攻击网站，使得网站的连接数(承受并发)过高，瘫痪

--->拒绝服务

查看selinux的状态：getenforce

disabled或者是Enforcing

3A认证安全：认证、授权、审计

磁盘加密：阿里云ECS的系统盘加密

常见加密算法：

1.DES，3DES，数据加密标准(data encyption standard)---56位

2.AES，高级加密算法---128、192位

对称加密：加密和解密使用同一个秘钥

对称加密不是很安全，但是加密速率高（不需要自己的公钥发来发去），适合加密大量的数据TB PB级别。加密传输数据等

DES，AES，3DES等

非对称加密：双方有公钥和私钥，发送公钥

用私钥加密，要用公钥解密(类似gitlab验证，ssh-key验证都是将私钥保留，将公钥发送给对端主机，然后我ssh连接的时候，是通过我自己的私钥去解密的)，解密自己的连接(解密自己的数据包)

因为只有公钥可以对Alice的私钥解密--->确认数据来源为Alice。因为gitlab有ssh的公钥了，能解析ssh发来的私钥加密包，一般的网站验证都是用RSA认证

公钥的作用：一般都是用于解密私钥的请求的

RSA算法：公钥加密算法，著名的公钥加密算法

一般的https算法，用的是RSA+AES算法的结合，网页端https加密

RSA加密算法的效率比较低，加密大量数据的速度慢

ssh协议使用的就是rsa加密算法，把pub公钥发送到各个主机或者是gitlab，jenkins等，完成主机的身份验证

hash算法(加密算法)：唯一的hash值

数据--->hash算法--->hash值

如果源数据相同，比如说都是同一个文件(文件内容一致)，那么经过hash算法的hash值也一样，确认文件内容一致；如果文件内容不一致，则hash值完全不同

MD5算法，sha1算法已经被破解，md5加密还可以临时的用于判断文件是否被修改等，比较md5sum加密值或者其他算法的加密值

常见算法：md5加密(hash值 128位--->显示的是32位的16进制)，sha128(160位)，sha256，sha512等算法

##各种算法
##md5算法
md5sum + file ##使用md5算法计算出这个file的hash值
baf172378e0d27f555b95affa525307d  1+100.sh

##sha1算法，位数比md5要长(160位)
sha1sum + file 	
sha512sum file
sha256sum file

sha512加密，128位的16进制数

暴力破解概念：一个个数字猜，比如算法内指定是大小写字母+数字，那么假如是16位的随机字符算法，一个字符就是26+26+10=56种，16位就是56^16，这么多次的猜测(暴力破解)

yum源加密gpgkey：用于检查来自yum源的包是否合法

这个gpgkey(公钥)，这个yum源发布后，使用的yum源的私钥加密，那么gpgkey的公钥就可以解了，从而验证包来源的合法性

[base]
name=CentOS-$releasever - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra
baseurl=https://repo.huaweicloud.com/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
##这里是一个在Cent OS 7上面的gpgkey校验key

综合加密：结合AES和RSA算法(对称和非对称算法)

其实公钥也存在一个问题：如果有人冒充中间商截取A-B获取公钥的信息，从而发送一个假的公钥给到A的话(假冒B)，那么A会将自己的真实信息用中间商的公钥加密，然后返回给中间商，从而泄露信息

混合对称算法和非对称算法，比如AES 128和sha256算法，类似互联网http访问的安全信息(AES+RSA)

流程加密：

1.原始data---对称加密(对称秘钥人人都有)---RSA加密，使用公钥B加密(类似gitlab的公钥B)

2.解密data：用私钥B解开公钥B，得到对称秘钥，在用对称秘钥解开data

实现数字签名(验证数据的合法性，是否是同一个文件)，使用hash算法先进行加密得到hash值(唯一)，在通过RSA算法公钥私钥加密

一般较常应用与pdf等加密文档，数字签名技术等(先hash再RSA)

1.data---hash算法：data的hash值---B的公钥加密

2.B的私钥解密---再用hash算法算一遍data的hash值---比较hash值，一样的即证明数据来源为合法的

CA证书(SSL加密证书)

权威机构颁发的证书，SSL证书，有效期一般是一年的有效期，也有证书颁发机构，CA机构

DV、OV等

证书类型：单域名、多域名、泛域名证书

CA签名

CA证书加密的原理：CA机构 作为靠谱的中间商，加入还是A向B请求信息，A发公钥给到CA，CA用自己的权威私钥给A的公钥加密，同时B有CA机构的公钥，和B的公钥，用B的公钥加密返回给B，B用私钥再解密

https加密证书

Chrome、edge等官方浏览器上受信任的根证书颁发机构，一般都存在于世界上，世界上的根证书颁发机构有不多，对应专门的证书企业

像这个暴雪的证书blizzard，暴雪也是一个根证书的颁发机构，自己给自己颁发证书：自签名证书，因为根机构已经是最高权限的机构了

CA证书包含的内容：签名算法sha256(RSA)、签名的hash算法(客户端验证证书的合法性，对比hash值)，公钥算法RSA

自己购买的域名：www.cwjcloudtest.cn

域名颁发机构为DV(单域名免费版SSL证书)，还有泛域名，多域名

根证书颁发机构：Digicert，在华为云上(或者是各大公有云厂商)上面都有

一般来说，在云厂商购买证书都涉及这几个参数：

1.证书类型：针对不同类型的企业、用途选择，同时价格也不一样，按照实际生产用途使用证书

2.证书品牌(根证书颁发机构)：www.cwjcloudtest.cn选择的是digicert，华为云官网是globalsign，阿里云也是globalsign

3.域名类型：单域名、多域名、泛域名

4.有效期：一般都为1年

SSL协议/TLS协议

HTTPS的原理：CA就是为了将服务端的公钥变得有效，可靠，客户端访问的时候才能放心访问；而这个可靠来自于可靠的根证书颁发机构(CA)

目前主流使用：TLS 1.2版本的协议

保护WEB应用层的数据包，SSH协议包裹，SSH：安全套接字，加上SSL证书

HTTPS的工作原理：根本过程就是验证服务器(域名)证书(公钥)来源的真实性

1.客户端发起请求，请求访问某个服务器站点(url)，访问443端口(其中站点必须放通443端口)

2.站点返回服务器的证书给到客户端，客户端验证证书的真实可靠性；如果有问题会提示安全/不安全/不受信任的证书，服务端发送公钥(证书)给到客户端

3.客户端验证成功，将加密信息给到服务器，用服务器的公钥加密

4.服务器用私钥解密信息，获取到传输的数据

企业内部使用生成SSL证书，自己生成就行；一般在互联网上申请的公共的CA，这个都是和根证书颁发机构申请的

openssl项目：生成企业内部免费证书用于加密服务

开放源码的软件库包，用于生成私有的CA证书

每台Linux的机器，都是自带openssl服务的

##查看版本
openssl version

基本语法

##使用openssl技术对文件进行hash运算，得到唯一的hash值
[root@ecs-web01 ~]#openssl sha512 1.sh 
SHA512(1.sh)= 3c7db731a40a5ca38935f1b5868aed6f84f66678772a22b04b25a04d098e36f4a095b67d35ab1476769846a214978e030360b4fb67ad22f71b534781d17419df

等同于sha512sum 1.sh

##openssl生成密码，自动生成一串加密的密文，可能是版本不一样，生成密文的密码，对原来的密码加密
openssl passwd -6 caiweijia123
[root@localhost ~]#openssl passwd -6 123
$6$nq8pcEoJbqN7FLq3$aSwUOh/OtSxGP8N/yxGaLgD2hwsluDkU.qCQrN1fFgclesBlUOywUyqEqEtcgwO1ExRj8MqdA8Igj9NaDXBsz/

##也可以使用openssl+密码输出密文
##存储在/etc/shadow的就是sha512加密过的密文
catyer:$6$f63BKB2X09nKyqtf$Ipvckz1/eRXs5J/CFNvcCgcJJQFtyiuCiUx09Byej7FIfdjPuiiimYJe.iP6skoa.hawaX58PHcxzTLEFjZj80::0:99999:7:::

原理上，sha512是可以被解密的，但是需要花很长的时间，需要量子计算机才能解密，工具一般也不能解密

openssl生成私钥

openssl可以生成密钥对，密钥对就指的是公钥+私钥，称为密钥对

生成一个服务的私钥

##生成一个私钥
openssl genrsa -out /key/app1.key
cat /key/app1.key

给私钥加密(使用对称算法)，因为非对称算法就是rsa，已经生成了密钥对了

使用aes算法加密的时候，需要输入一个密码(解密密码)--->但是不推荐，直接有私钥就行了

openssl genrsa -out /key/app2.key -aes128 ##-aes128表示使用什么对称算法进行加密

一些对称算法加密的方式：常用的一般为aes128 aes192 aes256等，需要在rsa的基础上再加一层加解密

使用ssh-keygen生成一个密钥对(本地生成)，这个也是单纯的rsa算法，没有使用对称加密过

私钥的生成：随机数，就像k8s的token一样，临时生成一个token或者是生成一个永久的都行

openssl根据私钥生成公钥(一般不需要手动生成，服务使用会自动解密)

这里没有再用aes加密，所以可以直接生成公钥的

-pubout需要加这个参数

openssl rsa -in /key/app1.key -pubout -out /key/app1.pub 

根据aes加密过的私钥生成公钥，需要手动输入一个phrase来验证aes加密，解密

openssl rsa -in /key/app2.key -pubout -out /key/app2.pub 

(重要)一个内网内如果想实现服务加密互访，需要搭建根CA，由根CA来颁发证书，自签名无法通信，自签名证书适用于单个服务

openssl生成CA证书(根CA)

私有CA：一般都是企业内部使用，直接就是根证书，一般不存在什么1级证书2级证书等目录

其实企业内部可以生成多个CA证书的，自签名证书

一般存放的目录：/etc/pki下面

[root@ecs-web01 ~]#tree /etc/pki/CA
/etc/pki/CA
├── certs
├── crl
├── newcerts
└── private

CA证书配置文件的路径：/etc/pki/tls/openssl.cnf

默认的配置参数，生成CA证书得配置参数

其中需要注意：

1.自签名证书certificate：$dir/xxx.pem要和openssl req -new -x509 -key /etc/pki/CA/private/ca.pem -days 3650 -out /etc/pki/CA/ca-cert.pem ###这个路径是自签名证书---一致

2.自己的私钥：$dir/private要和openssl genrsa -out private/ca.pem一致

[root@master tls]#pwd
/etc/pki/tls
[root@master tls]#ls
cert.pem  certs  ct_log_list.cnf  misc  openssl.cnf  private

##一定需要match匹配的字段，这些字段都可以修改路径的
[ CA_default ]
dir             = /etc/pki/CA           # 证书的根目录CA目录
certs           = $dir/certs            # CA下的certs，证书的存放位置，存放每个授予的证书
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # 数据库索引存放index.txt
#unique_subject = no                    # Set to 'no' to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.

certificate     = $dir/ca-cert.pem       # The CA certificate 这个是自己的自签名CA证书
serial          = $dir/serial           # The current serial number CA证书的序列号
crlnumber       = $dir/crlnumber        # the current crl number
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/ca.pem #这个是自己的私钥
RANDFILE        = $dir/private/.rand    # private random number file

x509_extensions = usr_cert              # The extentions to add to the cert

##CA证书的属性
default_days    = 365                   # 有效期默认1年
default_crl_days= 30                    # how long before next CRL
default_md      = sha256                # 默认RSA加密算法：sha256，可以修改
preserve        = no                    # keep passed DN ordering

##自签名和颁发的证书所需要match的字段，所以说还是不能乱填的
[ policy_match ]
countryName             = match ##国家名字
stateOrProvinceName     = match ##省份名
organizationName        = match ##公司名
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

##实验环境，暂时将这些修改为自定义optional
[ policy_match ]
countryName             = optional
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

1.生成CA需要的文件：两个文件

touch index.txt  ##生成证书索引的数据库文件
echo 01 > serial ##颁发证书的序列号，这个序列号要是十六进制的，不能乱填
ls
certs  crl  index.txt  newcerts  private  serial

2.生成CA的私钥--->这个是自己的私钥
在7版本，6版本或者之前，生成一个文件默认的权限是644，需要修改下私钥的权限，或者直接chmod改一下600也可以

openssl genrsa -out private/ca.pem
ll private/ca.pem 
-rw------- 1 root root 1679 Jul  9 10:44 private/ca.pem ##ca默认路径，只有拥有者root可以访问others都不可以访问
可能还得chmod 600一下：chmod 600 private/ca.pem

3.生成CA证书(自签名证书)，根据私钥生成自签名证书

颁发者和授予者都是自己，自签名证书；

企业内部其实也可以随便填，但是需要知道你这个证书是干嘛的，什么name，可以根据业务来划分(nginx，k8s，mysql，tomcat等)，在openssl.cnf文件上也不一定需要match

##生成CA证书自签名
openssl req -new -x509 -key /etc/pki/CA/private/ca.pem -days 3650 -out /etc/pki/CA/ca.pem ###这个路径是自签名证书

-x509：生成自签名的参数
-key：使用之前生成的私钥文件，写好路径
-days：指定使用年限：10年
-out：输出一个私钥(证书文件)，.cert文件

[root@ecs-web01 CA]#openssl req -new -x509 -key /etc/pki/CA/private/ca.pem -days 3650 -out /etc/pki/CA/ca-cert.pem
-----
##自己的可以随便填，如果是企业内的话，最好是命名规范一点
Country Name (2 letter code) [XX]:CN ##填写国家代码，CN---中国
State or Province Name (full name) []:SZ ##填写省份
Locality Name (eg, city) [Default City]:SZ ##城市
Organization Name (eg, company) [Default Company Ltd]:catyer ##公司名
Organizational Unit Name (eg, section) []:catyu^H ##部门名称
Common Name (eg, your name or your server's hostname) []:catyer 
Email Address []:catyer@11.com

##证书的基本格式输出.cert，查看master节点的证书说明
##关键参数：C=CN ST=GD O=CAT
[root@master CA]#openssl x509 -in /etc/pki/CA/ca-cert.pem  -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            88:fe:3b:bf:0c:8c:46:51
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=GD, L=SZ, O=CAT, OU=CAT, CN=CAT/emailAddress=cat
        Validity
            Not Before: Jul  9 03:11:33 2022 GMT
            Not After : Jul  6 03:11:33 2032 GMT
        Subject: C=CN, ST=GD, L=SZ, O=CAT, OU=CAT, CN=CAT/emailAddress=cat
        Subject Public Key Info:

在windows下查看这个新的证书.crt后缀，在windows环境下需要修改，但是提示是不受信任的证书

nginx服务生成证书(由根CA生成)

给到一个服务使用：需要

1.CA机构的自签名证书，ca.pem

2.服务的私钥，nginx.key：openssl genrsa -out nginx.key

3.服务的证书.crt：根据证书申请文件.csr申请.crt文件

前置条件：需要生成好CA的自签名证书，CA的私钥，并且规划好.pem的文件路径，写好文件路径

1.先生成一个服务的私钥

openssl genrsa -out /key/nginx.key

2.为需要生成证书的主机/服务生成证书申请文件，格式为.csr(申请文件)

openssl req -new -key /key/nginx.key -out /key/nginx.csr

[root@master CA]#openssl req -new -key /key/nginx.key -out /key/nginx.csr
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GD
Locality Name (eg, city) [Default City]:SZ
Organization Name (eg, company) [Default Company Ltd]:CAT

3.通过CA申请证书并且颁发给服务，有效期为365天

openssl ca -in /key/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days 365

[root@master CA]#openssl ca -in /key/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jul  9 04:25:34 2022 GMT
            Not After : Jul  9 04:25:34 2023 GMT ##有效期到2023年
        Subject:
            countryName               = CN ##基本的配置，一定要和CA机构的一致
            stateOrProvinceName       = SZ
            organizationName          = CAT
            organizationalUnitName    = CAT
            commonName                = CAT
            emailAddress              = CAT

4.生成完毕，查看证书的信息

证书文件格式：nginx.crt---/etc/pki/CA/certs/nginx.crt，其实就和CA机构的自签名证书ca.pem的格式是一致的，只不过现在是给到服务的证书

私钥文件格式：nginx.key---/key/nginx.key

也可以复制导出到windows桌面进行查看

openssl x509 -in /etc/pki/CA/certs/nginx.crt  -noout -text
[root@master CA]#openssl x509 -in /etc/pki/CA/certs/nginx.crt  -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=SZ, L=SZ, O=CAT, OU=CAT, CN=CAT/emailAddress=CAT
        Validity
            Not Before: Jul  9 04:25:34 2022 GMT
            Not After : Jul  9 04:25:34 2023 GMT
        Subject: C=CN, ST=SZ, O=CAT, OU=CAT, CN=CAT/emailAddress=CAT
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)


##查看index索引：cat $dir/index.txt
[root@master CA]#cat index/index.txt
V	230709042534Z		01	unknown	/C=CN/ST=SZ/O=CAT/OU=CAT/CN=CAT/emailAddress=CAT
V	230709090134Z		02	unknown	/C=CN/ST=CN/O=k8s/OU=k8s/CN=k8s/emailAddress=k8s

##查看serial序列号，现在变成02了，也就是下一个证书的编号是02
[root@master CA]#cat serial
02

吊销证书

某个证书泄漏了或者是不想用了，可以吊销证书，进入到newcerts，可以看到有01编号证书(nginx)，02编号证书(k8s)

[root@master CA]#cd newcerts/
[root@master newcerts]#ls
01.pem  02.pem

吊销证书：openssl ca -revoke

吊销证书的状态：revoked(R状态)

openssl ca -revoke /etc/pki/CA/newcerts/01.pem

##可以看到，index序列已经变成r了，证明已经吊销
[root@master CA]#openssl ca -revoke /etc/pki/CA/newcerts/01.pem
Using configuration from /etc/pki/tls/openssl.cnf
Revoking Certificate 01.
Data Base Updated
[root@master CA]#cat index/index.txt
R	230709042534Z	220709091050Z	01	unknown	/C=CN/ST=SZ/O=CAT/OU=CAT/CN=CAT/emailAddress=CAT
V	230709090134Z		02	unknown	/C=CN/ST=CN/O=k8s/OU=k8s/CN=k8s/emailAddress=k8s

记录吊销证书的文件：culnumber，先更新这个文件的编号为01

echo 01 > crlnumber
echo 01 > crlnumber/crlnumber

更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

查看crl文件

openssl crl -in /etc/pki/CA/crl/crl.pem

[root@master CA]#openssl crl -in /etc/pki/CA/crl/crl.pem  -noout -text
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=CN/ST=SZ/L=SZ/O=CAT/OU=CAT/CN=CAT/emailAddress=CAT
        Last Update: Jul  9 13:16:58 2022 GMT
        Next Update: Aug  8 13:16:58 2022 GMT
        CRL extensions:
            X509v3 CRL Number: 

在本地计算机配置为受信任证书

拷出来的K8s证书，k8s.crt

Cent OS 7直接生成自签名证书.pem和私钥.key(脚本模式)

根本的流程还是调用/usr/bin/openssl证书来实现

##如果是生成自签名证书，则不用根CA；如果是需要根CA，则需要在CA上生成CA的私钥以及CA的证书
##1.生成私钥
openssl genrsa -out /certs/nginx.key

##2.生成证书申请文件.csr
openssl req -new -key /key/nginx.key -out /key/nginx.csr

##3.nginx服务申请证书
openssl ca -in /key/nginx.csr -out /etc/pki/CA/certs/nginx.crt

##4.查看证书
openssl x509 -in /etc/pki/CA/certs/nginx.crt -noout -text

##5.使用ssl证书
将证书配置到各个服务内，形成加密

进入到目录/etc/pki/tls/certs，make就可以了，基于Makefile这个文件(脚本)来实现的

可以在这里openssl genrsa去掉-aes128加密，就不用输入phrase密码了

生成各种各样的证书，也可以编写脚本来实现，不过需要实现交互式的openssl命令，这里还是得输入证书的信息

make nginx.crt ##私有CA颁发的证书
make nginx.key ##私钥，用于解密公钥
make nginx.csr ##证书申请文件csr
make nginx.pem ##自签名证书

Cent OS 7执行创建.crt .key .pem等脚本

##进入指定目录创建，也可以openssl创建，mv到指定的目录存放
DIR=/key
SER=nginx

cd /etc/pki/tls/certs
make $SER.crt
make $SER.key
make $SER.pem
mv $SER.crt $SER.key $SER.pem $DIR
if [ $? -eq 0 ];then
        echo "$SER.crt $SER.key $SER.pem 创建成功"
fi

###生成私钥
#openssl genrsa -out /$DIR/$SER.key
#
###生成证书申请文件
#openssl req -new -key /$DIR/$SER.key -out /$DIR/$SER.csr
#
###生成证书
#openssl ca -in /$DIR/$DIR.csr -out /etc/pki/CA/certs/$SER.crt

SSH服务

用于连接远程主机，远程传输，远程操作等，openSSH服务默认安装的，安全的

通信过程：

1.ssh 192.168.244.132：首次连接确认是否是连接这台机器

2.确认，则将这台机器的公钥记录下来，下次连直接用公钥就行(对应算法)

3.下次直接使用密码

4.服务端也会获取到客户端的公钥，双方都有公钥，保证信息传输的安全性；服务端通过自己的私钥解密传输过来的公钥；客户端通过自己的私钥解密传过来的公钥

##主机IP，算法，公钥
192.168.244.132 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOf8Uo6Tm0vy+2g9ctYsTwc/tfWcXHQtY5EywK0odPY1KFdXvw/bi75eyTbBqMUnX90RY36V+SV2CF05KCP1FJ0=

192.168.244.133 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOf8Uo6Tm0vy+2g9ctYsTwc/tfWcXHQtY5EywK0odPY1KFdXvw/bi75eyTbBqMUnX90RY36V+SV2CF05KCP1FJ0=

基于ssh-keygen认证(本质上都是传公钥)

手动添加pubkey到服务端的过程，会进行验证，验证成功后自动认证，不需要人工输入账密

需要自己生成公钥私钥(密钥对)

ssh-keygen：默认算法是rsa算法

[root@master script]#ssh-keygen --help
unknown option -- -
usage: ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa | rsa1]
                  [-N new_passphrase] [-C comment] [-f output_keyfile]
       ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
       ssh-keygen -i [-m key_format] [-f input_keyfile]
       ssh-keygen -e [-m key_format] [-f input_keyfile]
       
##生成密钥对
ssh-keygen

##传输公钥
##-p 1258表示用不同的SSH端口连接
scp -P 1258 root@192.168.244.132:/root ##--->这个是scp命令，ssh和scp的一个是小写p，一个是大写P
ssh-copy-id root@192.168.244.132 

在远端机器生成key，传输过来的rsa算法加密的公钥，在.ssh的authkey目录下，同时known_host会添加多一个已知的主机地址

各个主机做ssh-keygen认证(expect)

原理：只要通过公钥验证就可以实现互访

思路：

1.在主机上先ssh-keygen生成自己的密钥对id_rsa和id_rsa.pub

2.ssh-copy-id root@192.168.244.128自己，生成自己的auth_key，自己生成了auth_key，known_host等文件

3.scp -r .ssh root@主机：将自己的.ssh目录复制到各个主机，那各个主机就可以识别到128这台主机了，同时各个主机也可以访问到128主机

如果远端机器修改了密码passwd，SSH还是可以连接的(基于key认证，基于公钥验证)

#!/bin/bash

pass="123"
cd /root
rm -rf .ssh

#host=`hostname -I`

##生成ssh-keygen
expect <<EOF
	spawn ssh-keygen
	expect {
		"key" { send "\n"; exp_continue }
		"passphrase" { send "\n"; exp_continue }
		"same" { send "\n"; exp_continue }
	}
EOF

##生成自己的auth_key
expect <<EOF
spawn ssh-copy-id root@192.168.244.128
expect {
            "yes/no" { send "yes\n"; exp_continue }
            "password" { send "$pass\n" }
}
expect eof
EOF

##循环复制到各个主机
for i in {132..133};do

expect <<EOF
spawn scp -r .ssh root@192.168.244.$i:/root
expect {
             "yes/no" { send "yes\n"; exp_continue }
             "password" { send "$pass\n" }
}
expect eof
EOF

if [ $? -eq 0 ];then
	echo "host 192.168.244.$i send success"
fi

done

各个主机做ssh-keygen认证(sshpass+expect)

sshpass：是ssh服务用于取消对每个主机的密码认证的服务，因为ssh 不能给连接的主机指定密码，可以指定明文密码

-p password：指定明文密码
-f file：可以跟记录密码的文件
-e：将环境变量SSHPASS作为密码

需要安装一下

rpm -qa | grep sshpass || yum -y install sshpass
rpm -q sshpass

sshpass+expect的组合

StrictHostKeyChecking=no：表示不再询问yes还是no，默认yes，-i表示把公钥复制过去

ssh-keygen -P "" -f /root/.ssh/id_rsa &>/dev/null：默认的key

由于sshpass貌似不支持1258端口，所以复制到139.9.57.240还得靠expect

host="
192.168.244.132
192.168.244.133
"
pass1=123
pass2=Caiwj@1258!
cd /root
rm -rf .ssh
ssh-keygen -P "" -f /root/.ssh/id_rsa &>/dev/null ##生成一个ssh-keygen的密钥对
rpm -q sshpass && echo "sshpass already install" || yum -y install sshpass
for i in ${host};do
        sshpass -p $pass1 ssh-copy-id -o StrictHostKeyChecking=no -i /root/.ssh/id_rsa.pub $i
#       sshpass -p $pass1 ssh -o StrictHostKeyChecking=no $i "echo `hostname -I` >> /root/ip"
        ssh $i "echo `hostname -I`"
done

#sshpass -p $pass2  -o StrictHostKeyChecking=no -i /root/.ssh/id_rsa.pub 139.9.57.240
expect <<EOF
        spawn ssh-copy-id -p 1258 root@139.9.57.240
        expect {
                "yes/no" {send "yes\n";exp_continue}
                "password" {send "Caiwj@1258!\n"}
        }
        expect eof
EOF

rsync：同步复制工具(可实现增量传输)

常用参数

##源 目的主机，也可以从目的主机复制到本地
rsync -av /etc server1:/tmp
rsync -av /server1:/tmp /etc

-a：包含rsync大部分的功能
-v：显示过程
-u：如果复制过来的文件比较新，则直接覆盖

#/etc和/etc/的区别：/etc拷贝包括目录下所有的文件，/etc/拷贝/etc下的文件，不拷贝目录
##区别
rsync -av f1 192.168.244.132:/data
rsync -av f1/ 192.168.244.132:/data

拷贝增量数据(SMS迁移工具就是借助Linux主机内的rsync组件来实现的)

拷贝data下的文件f1

##拷贝三个文件
rsync -av f1/ 192.168.244.132:/data
sending incremental file list
./
f1.txt
f2.txt
f3.txt

echo {1..10} >> f1/f1.txt ##对f1文件做一些改动

##再次拷贝，发现只拷贝增量数据incremental，只拷贝有变化的文件f1.txt
rsync -av f1/ 192.168.244.132:/data
sending incremental file list
f1.txt

sent 41,138 bytes  received 71,719 bytes  45,142.80 bytes/sec
total size is 314,572,821  speedup is 2,787.36

ll
total 307204
drwxr-xr-x 2 root root        48 Jul  9 23:26 f1
-rw-r--r-- 1 root root 104857621 Jul  9 23:28 f1.txt
-rw-r--r-- 1 root root 104857600 Jul  9 23:26 f2.txt
-rw-r--r-- 1 root root 104857600 Jul  9 23:26 f3.txt

实现拷贝脚本文件(只拷贝增量数据)

rsync需要对不同的ssh端口用法：rsync -e "ssh -p 1258"，前提是需要做好ssh密钥对认证

复制script下的所有文件，或者说是同步script下的所有文件到目标主机

date=`date +%F_%H`
#scp -r -p -P 1258 /script/ root@139.9.57.240:/ &>/dev/null
rsync -e "ssh -p 1258" -av /script/ root@139.9.57.240:/
if [ $? -eq 0 ];then
        echo "$date点传输成功" >> /script/scp/scp.txt
fi

##写个crontab -e任务
* */1 * * * /bin/sh /script/scp/scp.sh

ssh服务配置文件

现在管理服务的总父进程：systemd进程，负责创建启动管理服务进程

lastb：查看you谁登录失败过

ssh服务端配置文件：/etc/ssh/sshd_config

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

端口配置，监听本地的IP地址，默认0.0.0.0为所有IP

HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

密钥对加密算法，一般是非对称加密算法rsa等

ss -nt：查看已经建立连接的服务，监听的是本地的地址192.168.244.128:22端口，远端的是客户端端口(建立连接的)

基于key的验证：可以把允许用户名密码登录关掉

复制都是复制公钥给到目标端的主机，私钥不会复制出去，目标端的主机记录的也是公钥，最后的是主机名

然后只要有源端主机(master)的私钥，就可以远程免密连接到目标端(slave)

Ubuntu：默认关闭root登录，需要开启root用户登录

在生产中也可以禁止root用户登录

sudo：用于执行root命令

生产中一般是不给root权限的，因为权限太高很麻烦，如果是堡垒机就可以

管理员授权给到用户，用户具有管理员的权限，或者是执行某些command的权限

主配置文件：/etc/sudoers

vim /etc/sudoers

如果不对catyer授权，则会出现catyer不在授权用户范围的错误提示error

sudo -u username command：指令

##基本格式
root    ALL(在哪个主机)=(代表的用户，可以写root)       ALL(COMMAND指令)

#COMMAND指令需要写指令的完整路径，可以使用which来查看命令的路径which ls 
which cat which ls 
/usr/bin/cat

root    ALL=(ALL)   ALL
catyer  ALL
catyer  ALL=(root)      /usr/bin/ls 允许catyer用户执行ls /root命令
##注意：配置文件必须要和实际执行的命令一致，也是一种管理权限的手段，可以使用root用户临时授权一下，可以指定指令，也可以指定all

catyer  ALL=(root)      /usr/bin/ls /root,/usr/bin/mount /dev/sdb /mnt/mount
catyer  ALL=(root)      usr/bin/mount 
##授权某个命令，写命令路径即可，表示授权挂载命令，添加一个,即可授权多个command，不需要另起一行

catyer#sudo ls /root

pid=0：管理员账号

一个账号之所以是管理员的原因：因为账号的pid=0，用id可以查看pid，$3就是pid的列

grep /bin/bash /etc/passwd

awk -F: '{print $1":"$3}' /etc/passwd：$1和$3之间可以指定一个分隔符

pam：安全认证相关模块，库

对应的目录：

/etc/pam.d

/etc/security

chrony时间同步机制

云服务器：云厂商机器内置的时间服务器，ntpserver

ntp.aliyun.com：阿里云的ntp服务器地址，不要使用ntp服务，不标准

ntpdate：只是一次性的时间同步，不是永久的同步

使用chrony服务：实现配置本地的ntp服务器

ntp服务器：自己既是服务端也是客户端，其实例如阿里云的ntp.aliyun.com这些服务器，也是基于国际的原子钟来进行时间同步的，同时NTP服务器又作为企业内网的NTP服务器(服务端)

通过NTP协议实现时间同步

yum info：可以查看yum源内的软件包信息

yum info ntp：查看ntp软件的信息

yum info chrony：查看chrony软件包的信息

chrony更好一点，效率比较高，精度比较高一些，可以达到微秒级别的精准度

查看软件是否安装：rpm -q chrony

rpm -q chrony
chrony-3.2-2.el7.x86_64

配置文件：chrony.conf+服务chronyd

服务名称：chronyd

systemctl status chronyd

默认开机启动+chronyd.service服务的方式运行

配置好后，重启一下chrony服务，类似nginx/mysqld服务一样，配置文件都在/etc/chrony.conf内

配置时间服务器

华为云：ntp.myhuaweicloud.com，server ntp.myhuaweicloud.com minpoll 4 maxpoll 10 iburst

阿里云：ntp.aliyun.com

腾讯云：time1.cloud.tencent.com

##添加iburst：可以加速同步
server ntp.myhuaweicloud.com iburst
server ntp.aliyun.com iburst
server time1.cloud.tencent.com iburst

ntpdate ntp.aliyun.com##调整时间

作为云厂商的内部机器(内网机器)，本身的ntp服务就在华为云内网，有一个内网服务地址可以使用，直接用ntp.huaweicloud.com(有内部服务地址100.125开头的)

就可以了，不存在断公网无法同步时间；如果是IDC机器则是需要连公网才能同步时间的