一 如何安装一个系统
安装提示符:boot
安装镜像来源:
网络:
nfs
ftp
http
cdrom
harddisk
RHEL5 安装大体分为两个阶段:
anaconda(应用程序,借助vlinuz内核/initrd文件启动,打开应用界面):安装前的配置(安装程序)
boot(F2查看传递的参数):linux(256M界定图形文本),linux text(指定文本以界面启动),dd(驱动磁盘的简写,向内核传递此参数),ks(kickstart),vnc(远程配置完成)
安装阶段:-->保存在kickstart文件里
%pre安装前的脚本,预安装脚本
%packages(包)
%post(收尾时启动的脚本)
附:ctrl+alt+insert(虚拟机重启)
F5紧急救援模式
bootloader(GRUB)(无法引入逻辑卷)——>kernel(一定不能放在RAID上,boot单独分区)
根上不要放数据 10G
最好单独分区:
/usr(安装软件的地方,20G)
/usr/loacl(20G)
/var(日志,邮件,打印队列,以后会变得很大)
/home
/swap
手动创建逻辑卷
物理卷
new->vg(root,usr,var,home,swap)->grub—>netservice—>time—>pw
anaconda
yum install system-config-kickstart
vim /iso/isolinux
client.cfg
ks文件
挂载一个iso镜像设备
mount -o loop(表示本地回环设备) boot.iso /mnt
mkdir /tmp/iso
封装ks文件到镜像
mkisofs -o boot.iso -b ioslinux/isolinux.bin -c (配置文件) /iso(一定不能站在iso目录里面创建)
附:
RH253:
安全
授课安排:
WEB
FILE(文件服务):ftp,nfs,samba
DNS:高级应用,视图,日志记录(小项目)
MAIL:
iptables:(基本,高级,脚本)
安全控制工具,squid(同时也是代理服务器软件)
tcp_wrapper
PAM可插入式认证模块
二,Cryptograhpy
一)常用的加密解密技术:
对称加密
非对称加密
单项加密
特点:功能不同,领域不同,混合使用
最常见攻击:man in the middle,通信双方无法验证自己身份,中间人篡改数据
需要加密的领域:
passwd/data sniffing
订单
加密算法必须遵循的法则:
Kerckhoffs' Principle
数据完整性 比 保密性要重要
1.对称加密
方式:
加密方和解密方使用同一个密钥
将数据分成秘文块 分别加密后发送
分类:
ECB 每一个密文块单独加密
CBC 每一个密文块与前一个密文块做异或运算,然后将结果发送过去。(第一个块跟一个随机数进行异或)
常用算法:
DES:数据加密标准,使用56位密钥(2000年破解)
3DES:3次DES加密(标准?)
AES:高级加密标准,使用128,192,256三种密钥(目标:20年内无法破解成功)
blowfish,Twofish,RC6,IDEA,CAST5
缺陷:跟每一个通信目标都必须进行密码维护,需要记忆过多;密钥分发很困难
2.非对称加密算法(公钥加密)
方式:
双方使用不同密钥,公钥隐含在私钥之中
每个公钥对应一个私钥
一般不用来加密数据,一般用于实现用户认证
作用:
加密解密
认证
分类:
RSA(加密解密,认证)
DSA(认证)
大小类型:512,1024,2048,4096
缺陷:速度慢,比对称加密慢至少3个数量级
3.单项加密
方式:
计算一段数据的特征码,用于数据完整性校验
特点:
雪崩效应,一点不同就导致巨大不同
不可逆
防暴力破解
输出定长
作用:数据完整性校验
算法:
MD5: Message Digest,128bit
SHA1:Secure Hash Algorithm安全的哈希算法,160bit
综合应用:
例如:你要发送一段数据给对方,保证数据完整性和数据加密,并确认对方身份
一段数据,计算特征码,用对称密钥加密数据,然后附上用对方公钥加密的特征码,用自己私钥加密整个数据,得到数据块1,然后让数据块1附上自己的公钥,用对方的公钥加密整个数据块2,一起发送给对方。
对方收到数据块2,用私钥解密,得到你的公钥和数据块1,用你的公钥解密数据块1,得到数据段和加密后特征码,解密特征码,验证数据完整性,得到数据
二)证书:
IKE 密钥交换
PKI 公钥基础设施——》核心:CA(证书颁发机构)
CA:双方都认可的第三方发证机关
证书里放的核心就是公钥
防伪:证书的数字签名是证书的特征值,发证机关用私钥加密它。
单项加密能实现加密通信
证书格式:x509
证书撤销列表:crl
1.openssl:
libcrypto(库):实现加密解密
libssl(库):TLS/SSL
openssl:
enc加密 -des3 -salt -a -in
eg:
openssl enc -des3 -salt -a -in inittab -out inittab.des3
加密
openssl enc -d -des salt -a -in inittab.des3 -out inittab 解密
openssl dgst -sha inittab 取特征值
SHA(inittab)=
openssl passwd -1 -salt 指定特征值
sslpasswd
2.RSA私钥
生成私钥:
make *.key in
子shell:# (umask 77; openssl genrsa 1024>my.key)
输出公钥:
openssl rsa -in server.key -puhout -out server.pub
cat server.pub
3.发证步骤:
s/p生成一对密钥 --> csr(P,NAME,DESC)证书颁发请求,用做签名 --> CRT
使用OpenSSL颁发证书
eg:
1)生成私钥:
cd /etc/pki/CA/
(umask 66; openssl genrsa 2048 > private/cakey.pem)
2)为自己颁发证书:
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
CN
Henan
ZHengzhou
RHCE
Tech
[FQDN(关键)]
3)设置你的CA属性选项:
vim /etc/pki/tls/openssl.cnf
找到 [ CA_default ]
dir =/etc/pki/CA
:wq
4)为自己生成一个私钥:
yum install httpd
cd /etc/httpd
mkdir ssl
cd ssl/
(生成私钥)(umask 66;openssl genrsa 2048 > web.key)
5)创建CA颁发机构所需目录,并指示初始序列号:
cd /etc/pki/CA
mkdir certs crl newcerts
touch index.txt serial
echo 01 >serial(初始序列号)
6)客户端请求证书:
openssl req -new -key web.key -out web.csr
7)颁发:
openssl ca -in web.csr -out web.crt
y
阅读(1836) | 评论(0) | 转发(0) |