BIND编译安装
对于没有rpm包,需要源代码编译安装。
1、下载源代码:bind-9.12.2-P1.tar.gz,解压:tar -xf bind-9.12.2-P1.tar.gz
2、完善环境:
1)增加用户组named:groupadd -g 53 named
2)增加用户named(系统用户):useradd -r -u 53 -g named named
3、执行configure:进入加压后的目录,执行
./configure --prefix=/usr/local/bind9 --sysconfdir=/etc/named/ --disable-ipv6 --disable-chroot --enable-threads
make
make install
4、编译安装后,没有配置文件,即没有named.conf和named.rfc1912.zones等配置文件;没有rndc相关的配置文件;所以需要手工建立。同时相关命令也不能直接调用,相关库文件、头文件、资料文件需要添加到搜索路径中,即导出这些文件:
1)导出二进制命令路径,需要将路径输出到PATH环境变量中:在/etc/profile.d/下建立named.sh文件,内容如下: export PATH=/usr/local/bind9/bin:/usr/local/bind9/sbin:$PATH
然后重读一下文件:. /etc/profile.d/named.sh ,然后就可以直接调用这些命令了。
2)导出库文件,其他程序用到这些开发库,如果不导出,也无法使用,即找不到,所以要导出:
在/etc/ld.so.conf.d/下新建named.conf文件,内容是bind的库文件位置:
/usr/local/bind9/lib
然后要通知系统重读此配置文件,生成库文件搜索路径:ldconfig -v
3)导出头文件:ln -sv /usr/local/bind9/include/ /usr/include/named
4)导出帮助手册,即man目录,即将安装的man目录加入到搜索路径中,编辑/etc/man.config文件:添加MANPATH路径:
5)创建bind的配置文件/etc/named/named.conf,因为我们编译安装是配置了配置文件路径是/etc/named。
options {
directory "/var/named"; //全局配置只配置这一项就可以运行了,其他采用默认配置
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
然后这些库文件也需要我们自己创建:/var/named/named.ca、/var/named/localhost.zone、/var/named/named.local
根节点库文件,可以通过:dig -t NS . @ip获得,这里ip是可以连接互联网的机器:
将结果拷贝到named.ca中:dig -t NS . @192.168.138.2 > /var/named/named.ca
创建解析库文件:/var/named/localhost.zone:
$TTL 1d
@ IN SOA localhost. admin.localhost. (
2024052401
1h
5m
7d
1d )
IN NS localhost.
localhost. IN A 127.0.0.1
解析库文件:/var/named/named.local
$TTL 1d
@ IN SOA localhost. admin.localhost. (
2024052401
1h
5m
7d
1d )
IN NS localhost.
1 IN PTR localhost.
6)修改文件权限:
/var/named/下的所有文件:chmod 640 ./* ; chown :named *
chmod 640 /etc/named/named.conf ; chown :named /etc/named/named.conf
5、启动服务,成为缓存名称服务器:
named -u named -f -g -d 3,运行于前台
named -u named,运行于后台
启动过程中多次出现某目录或文件权限不够的提示,即permission denied,修改其属组权限后,系统运行正常
6、配置rndc,使用rndc工具时,提示
[root@study610-f2 named]# rndc reload
rndc: neither /etc/named/rndc.conf nor /etc/named/rndc.key was found
使用rndc-confgen产生:
按照提示分别拷贝相关内容到rndc.conf和named.conf中
# 以下为named.conf文件内容
options {
directory "/var/named";
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
zone "mytestcc.com" IN {
type master;
file "mytestcc.com.zone";
allow-update { none; };
};
# Use with the following in named.conf, adjusting the allow list as needed:
key "rndc-key" {
algorithm hmac-sha256;
secret "JS3jsXcMavvFVDGsjokYVhvml8h5dhwnvvrZJElW0F0=";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
# End of named.conf
# 以下为rndc.conf文件内容
# Start of rndc.conf
key "rndc-key" {
algorithm hmac-sha256;
secret "JS3jsXcMavvFVDGsjokYVhvml8h5dhwnvvrZJElW0F0=";
};
options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf
重新启动named进程,即可使用rndc进行管理。
远程登录:
登录到主机中,经历了 本地终端——>远程终端——>安全远程终端 几个阶段,最开始,主机提供相应的硬件接口,在此接口上连接VGA和键盘,实现登录主机,即本地终端登录,此时主机不需要额外的进程来处理与终端的通讯,随着网络的发展,出现在远端通过网络登录主机的需求,要实现的是同本地终端类似的功能,因为需要通过网络连接,并且要把网络包内容并在主机上解包并并运行其中的内容,就需要额外进程来负责,分为服务器端和客户端,服务器端实现接收客户端的输入内容,与主机交互将内容交给主机执行,将主机执行结果打包反馈给客户端,客户端要实现模拟本地终端的功能,实现内容输入和接收返回内容的展示,这需要双方遵守相同的规则,即需要终端通信协议,此时交互内容是明文在网络上传递;随着网络安全威胁越来越高,上述交互很容易被窃取,于是要求安全的网络交互,就出现了安全的远程终端,随之也就有安全终端协议。
Telnet:
一种不安全的远程终端协议telnet协议的实现,C/S架构,监听端口23/tcp。
telnet的使用:
1)安装:yum install telnet-server
安装后有telnet-server.x86_64 和telnet.x86_64 两个程序包,一个是服务器端程序包,一个是客户端程序包。telnet server是一个独特的服务,工作于基于超级守护进程管理的瞬时守护进程模式。
2)telnet server的启动:
chkconfig telnet on
service xinetd restart
查看:
xinetd叫超级守护进程,下面的没有运行级别的,像telnet叫瞬时守护进程。xinetd代瞬时守护进程监听,在有用户访问时,唤醒瞬时守护进程。像telnet进程使用的频度不高,不需要时刻监听。
3)登录,因为telnet是明文传输,禁止使用管理员账户登录,使用普通用户登录:
在windows上:
OpenSSH:
ssh:secure shell ,Protocol,即是一种协议。监听在tcp的22号端口,实现安全的远程登录。
OpenSSH:ssh协议的开源实现。dropbear是另一种实现。
Telnet:实现远程登录,但是没有安全保护,早期的远程登录。端口23/tcp
SSH协议版本:
v1:基于CRC-32做MAC,不安全:易遭到man-in-middle攻击
v2:双方主机协商选择安全的MAC方式。基于DH算法做密钥交换,基于RSA或DSA算法实现身份认证。
两种方式的用户登录认证: 基于password、基于key
通过ssh host登录服务器,客户端必须认证一下这台主机是不是就是要连接的那台主机,一般使用密钥对方式验证,客户端用主机的公钥解密主机发送的内容验证通过,即证明是需要的主机。关于客户端中主机的公钥,在第一次登录时,主机会发送这个公钥,在客户端会提醒是否保存这个公钥,就是让客户端使用者确定主机,接受保存后下一次访问,就会直接使用这个公钥。
基于密钥登录:客户端生成密钥对,将公钥发送给远程主机中对应登录用户的家目录下的某个文件中,以后此用户再登录时,主机用此公钥解密客户端的信息,依此来判断客户端的合法性,而不需要输入口令。此公钥是不允许公开的。
具体保存在~/.ssh/known_hosts中。
OpenSSH是C/S架构,客户端(C端)有ssh,(scp,sftp),windows客户端有xshell,putty,securecrt;对于Linux下的ssh客户端,配置文件为/etc/ssh/ssh_config;服务器端(S端):sshd,配置文件为/etc/ssh/sshd_config;
客户端工具:ssh命令
ssh [user]@host [command]:没有user,默认使用linux当前登录用户,指定了user,以指定的特定user登录。
ssh [ -l user ] host [command]:
参数 -p port:远程服务器监听的端口;
-X :支持X11转发
-Y:支持信任的x11转发;
客户端配置文件格式,/etc/ssh/ssh_config:
Host PATTERN
PARAMETER VALUE
# Host * # *号代表所有主机
# ForwardAgent no
# ForwardX11 no
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask # 第一次登录时,会提示是否接受密钥,设置no不提问
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
# Protocol 2,1
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
Host *
GSSAPIAuthentication yes
# If this option is set to yes then remote X11 clients will have full access
# to the original X11 display. As virtually no X11 client supports the untrusted
# mode correctly we set this to yes.
ForwardX11Trusted yes
# Send locale-related environment variables
SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
SendEnv LC_IDENTIFICATION LC_ALL LANGUAGE
SendEnv XMODIFIERS
基于密钥的认证(不需要密码进行登录):
(1)在客户端生成密钥对
ssh-keygen -t rsa [-P ''] [-f "~/.ssh/id_rsa"]
(2) 把公钥传输至远程服务器对应用户的家目录
ssh-copy-id [ -i [ identity_file] ] [ user@] machine
(3)登录验证:ssh
(4)安全提醒:不要使用root,可以登录后切换至root
实操:
1)客户端生成密钥对:
2)把公钥传输至远程服务器端对应用户的家目录
在服务器中查看:
注意,authorized_keys文件的权限为:-rw-------,即600,这是为了确保安全。
3)测试:
结果直接登录,没有提示输入密码。
scp命令:
scp [options] SRC ... DEST/
存在两种情形:
PULL:scp [options] [user@]host:/PATH/FROM/SOMEFILE /PATH/TO/SOMEWHERE
把远程文件拉到本地来,以哪个用户登录到哪台远程主机上去拉文件,即远程主机的用户
PUSH:scp [options] /PATH/FROM/SOMEFILE [user@]host:/PATH/TO/SOMEWHERE
把本地文件推送给(复制给)远程主机。也是远程主机用户。
常用选项:
-r :递归复制
-p :保持源文件的属性信息
-q :静默模式
-P PORT:指明remote host的监听的端口;
scp也基于ssh,因为在上一步设置了基于密钥的认证,所以复制过程也不需要输入密码。
sftp命令:
sftp [user@]host
同scp,也是基于ssh
服务器端:sshd
配置文件/etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
# 以#加空格开头的是注释,以#开头后无空格的是配置项,去掉#就是配置
#Port 22 # sshd服务监听的端口,默认22
#AddressFamily any # IP家族,any表示IPv4和IPv6
#ListenAddress 0.0.0.0 # 监听本机所有IPv4地址
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2 # 使用协议的哪个版本
# Centos6上sshd的配置
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# 在7.x版本,即centos7上,配置如下
#HostKey /etc/ssh/ssh_host_rsa_key
##HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key # 在用户登录时发送给用户的公钥,即保存在客户端用户家目录.ssh下know_hosts中的公钥
#HostKey /etc/ssh/ssh_host_ed25519_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h # 对称密钥重新生成时间间隔
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV # 日志使用AUTHPRIV,保存在/var/log/secure
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m # 登录的宽限时间(等待输入用户密码时间)
#PermitRootLogin yes # 是否允许root直接登录,默认是可以的
#StrictModes yes # 是否严格检查格式
#MaxAuthTries 6 # 最大认证重试次数
#MaxSessions 10 # 最大会话数
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys # 客户端采用密钥认证时,客户端的公钥在服务器端的保存位置
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes # 允许基于口令认证方式登录
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
# Kerberos options # 实现第三方统一认证的一种认证方式
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes
# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes # 允许客户端调用服务器端的图形程序
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes # DNS的反向解析功能,默认是开启的,一般设为no,否则,客户端登录时会发生被卡住一会的现象
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
# no default banner path
#Banner none
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server # 支持sftp
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
在ssh命令中使用 -X选项支持X11转发或-Y选项支持信任的x11转发
ssh服务的最佳实践:
1、不要使用默认端口;
2、禁止使用Protocol version 1;
3、限制可登录用户:配置文件中AllowUsers和AllowGroups,白名单;
实操: 添加两个用户:gentoo和centos,在没配置白名单前都能登录:
在服务器的配置文件/etc/ssh/sshd_config的最后添加:AllowUsers root centos
然后重载服务:service sshd restart
再次测试登录,centos可以登录,但是gentoo无法登录:
也可以使用黑名单:DenyUsers
4、设定空闲会话超时时长;
5、利用防火墙设置ssh访问策略;
6、仅监听特定的IP地址;
7、基于口令认证时,使用强密码策略;
随机密码:tr -dc A-Za-z0-9_ < /dev/urandom | head -c 30 | xargs
8、使用基于密钥的认证;
9、禁止使用空密码;
10、禁止root用户直接登录;
11、限制ssh的访问频度和并发在线数;
12、做好日志,经常分析;
ssh协议的另一个实现:dropbear
1)安装:yum install dropbear
2)生成密钥对,启动服务:
dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key -s 2048
dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key
dropbear -p [ip:]port -F -E
连接测试:
3)可以作为客户端连接其他远程主机,工具是dbclient
dbclient root@host
OpenSSL-重温:
三个组件:
openssl:多用途的命令行工具;
libcrypto:加密解密库;
libssl:ssl协议的实现
PKI:Public Key Instructure,公钥基础设施
CA、RA、CRL、证书存取库
建立私有CA(一个组织内部使用):两种方式
OpenCA和 openssl,OpenCA比较专业,使用也比较复杂;openssl简单易用
证书申请及签署步骤:
1)生成申请请求;
2)RA核验;
3)CA签署;
4)获取证书;
创建私有CA:
openssl的配置文件:/etc/pki/tls/openssl.cnf 
安装上面配置信息创建对应的文件、目录
1)创建所需文件,在/etc/pki/CA目录下
# touch index.txt
# echo 01 > serial
确保certs 、crl、 newcerts、 private子目录存在
2)CA自签证书,要想生存证书,要有密钥对
# (umask 077;openssl genrsa -out private/cakey.pem 2048) # 生成私钥,-out与配置文件一致
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem # 自签证书生成
-new:生成新证书签署请求
-x509:专用于cA生成自签证书
-key:生成请求时用到的私钥文件,证书需要公钥,通过私钥自动生成
-days:证书有效期限
-out:证书的保存路径,与配置文件中的配置保持一致
这个文件发送给需要使用证书的客户机,导入到信任的根证书颁发机构中。
3)发证
(a)用到证书的主机生成证书请求
生成私钥、利用私钥生成证书签署请求文件
(b)把证书签署请求文件传输给CA
(c)CA签署证书,并将证书发还给用户
(d)查看证书中的信息:
openssl x509 in /PATH/FROM/CERT_FILE -noout -text| -subject | -serial
(e)吊销证书:
<1>获取要吊销的证书的serial
<2>CA先根据客户提交的serial与subject,对比检验是否与index.txt中信息一致;
吊销证书:openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
生成吊销证书的编号(第一次吊销一个证书时):echo 01 > /etc/pki/CA/crlnumber
更新证书吊销列表:openssl ca -gencrl -out thisca.crl
查看crl文件:openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text
实操:
a)、 (umask 077; openssl genrsa -out httpd.key 2048) # 生成私钥
openssl req -new -key httpd.key -days 365 -out httpd.csr # 生成证书签署请求文件
b)、发送此请求文件至CA:
scp httpd.csr root@192.168.138.139:/tmp
c)、CA签发证书
openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365
出现错误:
原因分析:在前面安装python时,对openssl进行了编译安装,所以现在的openssl使用的是编译安装后的高版本,其配置文件使用的是/usr/local/openssl/ssl目录下的openssl.cnf
错误排除:修改/usr/local/openssl/ssl/openssl.cnf配置文件,将其中的dir = ./demoCA,修改为dir=/etc/pki/CA应该就可以了。排查前面的操作,除了这个配置文件,其他都是在/etc/pki/CA目录下,所以openssl的配置文件只修改ca的目录配置即可。
再次签发:
证书签发成功。
生成的证书应该保存在/etc/pki/CA/certs下。
d)客户端取回证书:scp /tmp/httpd.crt root@192.168.138.138:/tmp
e)查看证书信息:
f)吊销证书:
至此,证书签发完毕。
