Chinaunix首页 | 论坛 | 博客
  • 博客访问: 31579
  • 博文数量: 7
  • 博客积分: 225
  • 博客等级: 入伍新兵
  • 技术积分: 110
  • 用 户 组: 普通用户
  • 注册时间: 2011-07-21 18:02
文章分类
文章存档

2011年(7)

最近访客

分类: LINUX

2011-08-09 18:51:42

一 如何安装一个系统
 
安装提示符:boot
 
安装镜像来源:
网络:
  nfs
  ftp
  http

  cdrom
  harddisk
 
RHEL5 安装大体分为两个阶段:
 anaconda(应用程序,借助vlinuz内核/initrd文件启动,打开应用界面):安装前的配置(安装程序)
    boot(F2查看传递的参数):linux(256M界定图形文本),linux text(指定文本以界面启动),dd(驱动磁盘的简写,向内核传递此参数),ks(kickstart),vnc(远程配置完成)
 
 安装阶段:-->保存在kickstart文件里
   %pre安装前的脚本,预安装脚本
   %packages(包)
   %post(收尾时启动的脚本)
 
附:ctrl+alt+insert(虚拟机重启)
    F5紧急救援模式
 
bootloader(GRUB)(无法引入逻辑卷)——>kernel(一定不能放在RAID上,boot单独分区)
根上不要放数据 10G
最好单独分区:
/usr(安装软件的地方,20G)
/usr/loacl(20G)
/var(日志,邮件,打印队列,以后会变得很大)
/home
/swap
 
手动创建逻辑卷
物理卷
new->vg(root,usr,var,home,swap)->grub—>netservice—>time—>pw
 
anaconda
yum install system-config-kickstart
 
vim /iso/isolinux
client.cfg
 
ks文件
 
挂载一个iso镜像设备
mount -o loop(表示本地回环设备) boot.iso /mnt
mkdir /tmp/iso
 
封装ks文件到镜像
mkisofs -o boot.iso -b ioslinux/isolinux.bin -c (配置文件)  /iso(一定不能站在iso目录里面创建)
 
 
 
附:
 
RH253:
安全
 
授课安排:
WEB
FILE(文件服务):ftp,nfs,samba
DNS:高级应用,视图,日志记录(小项目)
MAIL:
iptables:(基本,高级,脚本)
安全控制工具,squid(同时也是代理服务器软件)
tcp_wrapper
PAM可插入式认证模块

 
二,Cryptograhpy
 
一)常用的加密解密技术:
对称加密
非对称加密
单项加密
特点:功能不同,领域不同,混合使用
 
最常见攻击:man in the middle,通信双方无法验证自己身份,中间人篡改数据
 
需要加密的领域:
passwd/data sniffing
订单
 
加密算法必须遵循的法则:
Kerckhoffs' Principle
数据完整性 比 保密性要重要
 
1.对称加密
 
方式:
加密方和解密方使用同一个密钥
将数据分成秘文块 分别加密后发送
 
分类:
ECB 每一个密文块单独加密
CBC 每一个密文块与前一个密文块做异或运算,然后将结果发送过去。(第一个块跟一个随机数进行异或)
 
常用算法:
DES:数据加密标准,使用56位密钥(2000年破解)
3DES:3次DES加密(标准?)
AES:高级加密标准,使用128,192,256三种密钥(目标:20年内无法破解成功)
blowfish,Twofish,RC6,IDEA,CAST5
 
缺陷:跟每一个通信目标都必须进行密码维护,需要记忆过多;密钥分发很困难
 
2.非对称加密算法(公钥加密)
方式:
双方使用不同密钥,公钥隐含在私钥之中
每个公钥对应一个私钥
一般不用来加密数据,一般用于实现用户认证
 
作用:
加密解密
认证
 
分类:
RSA(加密解密,认证)
DSA(认证)
 
大小类型:512,1024,2048,4096
 
缺陷:速度慢,比对称加密慢至少3个数量级
 
3.单项加密
方式:
计算一段数据的特征码,用于数据完整性校验
 
特点:
雪崩效应,一点不同就导致巨大不同
不可逆
防暴力破解
输出定长
 
作用:数据完整性校验
 
算法:
MD5: Message Digest,128bit
SHA1:Secure Hash Algorithm安全的哈希算法,160bit
 
综合应用:
例如:你要发送一段数据给对方,保证数据完整性和数据加密,并确认对方身份
 
一段数据,计算特征码,用对称密钥加密数据,然后附上用对方公钥加密的特征码,用自己私钥加密整个数据,得到数据块1,然后让数据块1附上自己的公钥,用对方的公钥加密整个数据块2,一起发送给对方。
对方收到数据块2,用私钥解密,得到你的公钥和数据块1,用你的公钥解密数据块1,得到数据段和加密后特征码,解密特征码,验证数据完整性,得到数据

二)证书:
 
IKE 密钥交换

PKI 公钥基础设施——》核心:CA(证书颁发机构)
CA:双方都认可的第三方发证机关
证书里放的核心就是公钥
防伪:证书的数字签名是证书的特征值,发证机关用私钥加密它。
 
单项加密能实现加密通信
证书格式:x509
证书撤销列表:crl

1.openssl:
 
libcrypto(库):实现加密解密
libssl(库):TLS/SSL
openssl:
enc加密 -des3 -salt -a -in
 
eg:
openssl enc -des3 -salt -a -in inittab -out inittab.des3
加密
 
openssl enc -d -des salt -a -in inittab.des3 -out inittab 解密
 
openssl dgst -sha inittab 取特征值
SHA(inittab)=
 
openssl passwd -1 -salt 指定特征值
sslpasswd

2.RSA私钥
 
生成私钥:
make *.key in
子shell:# (umask 77; openssl genrsa 1024>my.key)
 
输出公钥:
openssl rsa -in server.key -puhout -out server.pub
cat server.pub
 
3.发证步骤:
s/p生成一对密钥 --> csr(P,NAME,DESC)证书颁发请求,用做签名 --> CRT
使用OpenSSL颁发证书
 
eg:
 
1)生成私钥:
cd /etc/pki/CA/
(umask 66; openssl genrsa 2048 > private/cakey.pem)
 
2)为自己颁发证书:
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
CN
Henan
ZHengzhou
RHCE
Tech
[FQDN(关键)]
 
3)设置你的CA属性选项:
vim /etc/pki/tls/openssl.cnf
找到 [ CA_default ]
 
dir =/etc/pki/CA
:wq
 
4)为自己生成一个私钥:
yum install httpd
cd /etc/httpd
mkdir ssl
cd ssl/
(生成私钥)(umask 66;openssl genrsa 2048 > web.key)
 
5)创建CA颁发机构所需目录,并指示初始序列号:
cd /etc/pki/CA
mkdir certs crl newcerts
touch index.txt serial
echo 01 >serial(初始序列号)
 
6)客户端请求证书:
openssl req -new -key web.key -out web.csr

 
7)颁发:
openssl ca -in web.csr -out web.crt
y
阅读(1836) | 评论(0) | 转发(0) |
0

上一篇:7.20

下一篇:使用源码包编译安装LAMP

给主人留下些什么吧!~~