一 如何安装一个系统

 

安装提示符：boot

 

安装镜像来源：

网络：
  nfs
  ftp
  http

  cdrom
  harddisk
 
RHEL5 安装大体分为两个阶段：
 anaconda（应用程序，借助vlinuz内核/initrd文件启动，打开应用界面）：安装前的配置（安装程序）
    boot（F2查看传递的参数）：linux(256M界定图形文本），linux text（指定文本以界面启动），dd(驱动磁盘的简写，向内核传递此参数)，ks(kickstart),vnc(远程配置完成)
 
 安装阶段：-->保存在kickstart文件里
   %pre安装前的脚本，预安装脚本
   %packages（包）
   %post(收尾时启动的脚本)

 

附：ctrl+alt+insert（虚拟机重启）

    F5紧急救援模式

 

bootloader(GRUB)(无法引入逻辑卷)——>kernel(一定不能放在RAID上，boot单独分区）

根上不要放数据 10G

最好单独分区:

/usr（安装软件的地方，20G）
/usr/loacl（20G）
/var（日志，邮件，打印队列，以后会变得很大）

/home
/swap

 

手动创建逻辑卷
物理卷
new->vg(root,usr,var,home,swap)->grub—>netservice—>time—>pw

 

anaconda

yum install system-config-kickstart

 

vim /iso/isolinux

client.cfg

 

ks文件

 

挂载一个iso镜像设备
mount -o loop(表示本地回环设备) boot.iso /mnt
mkdir /tmp/iso

 

封装ks文件到镜像
mkisofs -o boot.iso -b ioslinux/isolinux.bin -c (配置文件)  /iso(一定不能站在iso目录里面创建)

 

 

 

附：

 

RH253：
安全

 

授课安排：
WEB
FILE（文件服务）：ftp,nfs,samba
DNS:高级应用，视图，日志记录（小项目）
MAIL:
iptables:(基本，高级，脚本)
安全控制工具，squid(同时也是代理服务器软件)
tcp_wrapper
PAM可插入式认证模块

 

二，Cryptograhpy

 

一）常用的加密解密技术：

对称加密
非对称加密
单项加密

特点：功能不同，领域不同，混合使用

 

最常见攻击：man in the middle,通信双方无法验证自己身份，中间人篡改数据

 

需要加密的领域：
passwd/data sniffing
订单

 

加密算法必须遵循的法则：
Kerckhoffs' Principle
数据完整性 比 保密性要重要

 

1.对称加密

 

方式：
加密方和解密方使用同一个密钥
将数据分成秘文块 分别加密后发送

 

分类：

ECB 每一个密文块单独加密
CBC 每一个密文块与前一个密文块做异或运算，然后将结果发送过去。（第一个块跟一个随机数进行异或）

 

常用算法：
DES：数据加密标准，使用56位密钥（2000年破解）
3DES：3次DES加密（标准？）
AES：高级加密标准，使用128,192,256三种密钥（目标：20年内无法破解成功）
blowfish,Twofish,RC6,IDEA,CAST5

 

缺陷：跟每一个通信目标都必须进行密码维护，需要记忆过多；密钥分发很困难

 

2.非对称加密算法（公钥加密）
方式：

双方使用不同密钥，公钥隐含在私钥之中
每个公钥对应一个私钥
一般不用来加密数据，一般用于实现用户认证

 

作用：
加密解密
认证

 

分类：

RSA（加密解密，认证）
DSA（认证）

 

大小类型：512，1024,2048,4096

 

缺陷：速度慢，比对称加密慢至少3个数量级

 

3.单项加密

方式：

计算一段数据的特征码,用于数据完整性校验

 

特点：
雪崩效应，一点不同就导致巨大不同
不可逆
防暴力破解
输出定长

 

作用：数据完整性校验

 

算法：

MD5: Message Digest，128bit
SHA1:Secure Hash Algorithm安全的哈希算法,160bit

 

综合应用：

例如：你要发送一段数据给对方，保证数据完整性和数据加密，并确认对方身份

 

一段数据，计算特征码，用对称密钥加密数据，然后附上用对方公钥加密的特征码，用自己私钥加密整个数据，得到数据块1，然后让数据块1附上自己的公钥，用对方的公钥加密整个数据块2，一起发送给对方。
对方收到数据块2，用私钥解密，得到你的公钥和数据块1，用你的公钥解密数据块1，得到数据段和加密后特征码，解密特征码，验证数据完整性，得到数据

二）证书：

 

IKE 密钥交换

PKI 公钥基础设施——》核心：CA（证书颁发机构）

CA：双方都认可的第三方发证机关

证书里放的核心就是公钥

防伪：证书的数字签名是证书的特征值，发证机关用私钥加密它。

 

单项加密能实现加密通信

证书格式：x509
证书撤销列表：crl

1.openssl：

 

libcrypto(库)：实现加密解密
libssl（库）：TLS/SSL

openssl:

enc加密 -des3 -salt -a -in

 

eg:
openssl enc -des3 -salt -a -in inittab -out inittab.des3
加密

 

openssl enc -d -des salt -a -in inittab.des3 -out inittab 解密

 

openssl dgst -sha inittab 取特征值
SHA(inittab)=

 

openssl passwd -1 -salt 指定特征值

sslpasswd

2.RSA私钥

 

生成私钥:
make *.key in
子shell:# (umask 77; openssl genrsa 1024>my.key)

 

输出公钥：

openssl rsa -in server.key -puhout -out server.pub

cat server.pub

 

3.发证步骤：

s/p生成一对密钥 --> csr(P,NAME,DESC)证书颁发请求，用做签名 --> CRT

使用OpenSSL颁发证书

 

eg:

 

1)生成私钥：
cd /etc/pki/CA/
(umask 66; openssl genrsa 2048 > private/cakey.pem)

 

2)为自己颁发证书：
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

CN
Henan
ZHengzhou
RHCE
Tech
[FQDN(关键)]

 

3)设置你的CA属性选项：
vim /etc/pki/tls/openssl.cnf
找到 [ CA_default ]
 

dir =/etc/pki/CA
:wq

 

4)为自己生成一个私钥：
yum install httpd
cd /etc/httpd
mkdir ssl
cd ssl/
(生成私钥)（umask 66;openssl genrsa 2048 > web.key）

 

5)创建CA颁发机构所需目录，并指示初始序列号：
cd /etc/pki/CA
mkdir certs crl newcerts
touch index.txt serial
echo 01 >serial(初始序列号)

 

6)客户端请求证书：
openssl req -new -key web.key -out web.csr

 

7)颁发：
openssl ca -in web.csr -out web.crt
y