密钥管理

对称加密：双方使用的同一个密钥，既可以加密又可以解密，这种加密方法称为对称加密，也称为单密钥加密。 优点： 速度快，对称性加密通常在消息发送方需要加密大量数据时使用，算法公开、计算量小、加密速度快、加密效率高。 缺点： 在数据传送前，发送方和接收方必须商定好秘钥，然后 使双方都能保存好秘钥。其次如果一方的秘钥被泄露，那么加密信息也就不安全了。另外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的唯一秘 钥，这会使得收、发双方所拥有的钥匙数量巨大，密钥管理成为双方的负担。 在对称加密算法中常用的算法有：DES、AES等。 AES：密钥的长度可以为128、192和256位，也就是16个字节、24个字节和32个字节 DES：密钥的长度64位，8个字节。 非对称加密：一对密钥由公钥和私钥组成（可以使用很多对密钥）。私钥解密公钥加密数据，公钥解密私钥加密数据（私钥公钥可以互相加密解密）。 私钥只能由一方保管，不能外泄。公钥可以交给任何请求方。 在非对称加密算法中常用的算法有： RSA、Elgamal、背包算法、Rabin、Diffie-Hellman、ECC（椭圆曲线加密算法）。 使用最广泛的是RSA算法，Elgamal是另一种常用的非对称加密算法。 缺点： 速度较慢 优点： 安全 1.分类 加密算法首先分为两种：单向加密、双向加密。 单向加密是不可逆的，也就是只能加密，不能解密

title: AWS之Qwiklab1 date: 2018-09-19 17:29:20 subtitle: 实验-Hadoop, IoT, IAM, Key Management Service tags: AWS Analyze Big Data with Hadoop 使用Hadoop分析大数据 知识梳理 1. 定义与作用 Amazon EMR 是一个托管集群平台，可简化在 AWS 上运行大数据框架 (如 Apache Hadoop 和 Apache Spark) 以处理和分析海量数据的操作。借助这些框架和相关的开源项目 (如 Apache Hive 和 Apache Pig)。处理用于分析目的的数据和商业智能工作负载。此外，可以使用 Amazon EMR 转换大量数据和将大量数据移入和移出其他 AWS 数据存储和数据库，如 Amazon Simple Storage Service (Amazon S3) 和 Amazon DynamoDB。 2. 大数据技术概述 随着数据的不断变大，数据的处理就出现了瓶颈：存储容量，读写速率，计算效率等等。为了处理大数据，google打造了三驾马车，MapReduce，BigTable和GFS。世界人民为了抢占一席之地，开源的Hadoop诞生了！ 3. Hadoop概述 Apache

1. HTTPS定义 　　Hyper Text Transfer Protocol over Secure Socket Layer，安全的超文本传输协议，网景公式设计了SSL(Secure Sockets Layer)协议用于对Http协议传输的数据进行加密，保证会话过程中的安全性。 　　缩写：HTTPS，常称为HTTP over TLS，HTTP over SSL或HTTP Secure 　　两大作用：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 2. 密码学基础　 明文： 明文指的是未被加密过的原始数据。 密文：明文被某种加密算法加密之后，会变成密文，从而确保原始数据的安全。密文也可以被解密，得到原始的明文。 密钥：密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥，分别应用在对称加密和非对称加密上。 对称加密对称加密又叫做私钥加密，即信息的发送方和接收方使用同一个密钥去加密和解密数据。 其加密过程如下：明文 + 加密算法 + 私钥 => 密文 解密过程如下：密文 + 解密算法 + 私钥 => 明文 对称加密中用到的密钥叫做私钥，私钥表示个人私有的密钥，即该密钥不能被泄露。 其加密过程中的私钥与解密过程中用到的私钥是同一个密钥，这也是称加密之所以称之为“对称”的原因

服务器端加密是为了保护静态数据。使用客户提供的加密密钥的服务器端加密 (SSE-C) 允许您设置自己的加密密钥。使用您作为请求的一部分提供的加密密钥，Amazon S3 在写入磁盘时管理加密并在您访问对象时管理解密。因此，您不需要维护任何代码来执行数据加密和解密。您只需管理您提供的加密密钥。 在您上传对象时，Amazon S3 将使用您提供的加密密钥对您的数据应用 AES-256 加密并从内存中移除加密密钥。 Amazon S3 不存储您提供的加密密钥，而是存储加密密钥添加了随机数据的 HMAC 值来验证未来的请求。无法使用添加了随机数据的 HMAC 值来推导出加密密钥的值或解密加密对象的内容。这意味着， 如果您丢失加密密钥，则会失去该对象。 在使用具有客户提供的加密密钥的服务器端加密 (SSE-C) 时，您必须使用以下请求标头提供加密密钥信息。 名称 描述 x-amz-server-side​-encryption​-customer- algorithm 使用此标头来指定加密算法。标头值必须为“ AES256 ”。 x-amz-server-side​-encryption​-customer- key 使用此标头来提供 256 位的 base64 编码的加密密钥以供 Amazon S3 用于加密或解密您的数据。 x-amz-server-side​-encryption​

0. 说明 资产服务器：需要被堡垒机管理的服务器 Jumpserver平台：部署有Jumpserver的服务器 管理用户：资产服务器上的已有用户 系统用户:资产服务器上有的或者没有的用户 1. 资产服务器操作 使用root用户登陆上资产服务器，创建一个普通用户，授予sudo NOPASSWD权限，修改sshd_config文件，允许使用密钥文件登陆。 切换到该普通用户，生成密钥文件，导入公钥文件到authorized_keys文件,修改该文件权限 下载id_rsa私钥文件到本地 [root@bogon ~]# useradd sandu1 [root@bogon ~]# vim /etc/sudoers # 增加如下一行内容 sandu1 ALL=(ALL) NOPASSWD:ALL [root@bogon ~]# vim /etc/ssh/sshd_config # 如下这行文件取消注释 PubkeyAuthentication yes [root@bogon ~]# systemctl restart sshd.service [root@bogon ~]# su - sandu1 [sandu1@bogon ~]$ ssh-keygen [sandu1@bogon ~]$ cd .ssh/ [sandu1@bogon .ssh]$ cat id_rsa.pub >>

目录 所谓Salt 开始搭建 配置接受密钥 salt命令 YAML详解 目标定位字符串 state模块定义主机状态 Salt采集静态信息之GrainsSalt 原文: http://blog.gqylpy.com/gqy/333 "@(Saltstack) *** 所谓Salt Saltstack是由thomas Hatch于2011年创建的一个开源项目，设计初衷是为了实现一个快速的 远程执行系统 . Salt有多强大！     系统管理元日常会进行大量的重复性操作，例如安装软件，修改配置文件，创建用户，批量执行命令等等，如果主机数量庞大， 单靠人工维护是在让人难以忍受.     早期的运维人员会根据生产环境编写特定的脚本来完成大量的重复性工作，这些脚本复杂且难以维护，系统管理员面临的问题主要是系统配置管理、远程执行命令。因此而诞生了很多开源软件，系统维护方面的有 fabric 、 puppet 、 chef 、 ansible 、 Saltstack 等，这些软件擅长维护系统状态或方便的对大量主机进行批量的命令执行.     Salt灵活性强大，可以进行大规模部署，也能进行小规模的系统部署，Salt的设计构造适用于任意数量的服务器，从少量本地网络系统到跨越整个数据中心，扩扑架构都是C/S模型，配置简单.     不管是几台、几百台、几千台服务器

目录 所谓Salt 开始搭建 配置接受密钥 salt命令 YAML详解 目标定位字符串 state模块定义主机状态 Salt采集静态信息之GrainsSalt 原文: http://blog.gqylpy.com/gqy/333 "@(Saltstack) *** 所谓Salt Saltstack是由thomas Hatch于2011年创建的一个开源项目，设计初衷是为了实现一个快速的 远程执行系统 . Salt有多强大！     系统管理元日常会进行大量的重复性操作，例如安装软件，修改配置文件，创建用户，批量执行命令等等，如果主机数量庞大， 单靠人工维护是在让人难以忍受.     早期的运维人员会根据生产环境编写特定的脚本来完成大量的重复性工作，这些脚本复杂且难以维护，系统管理员面临的问题主要是系统配置管理、远程执行命令。因此而诞生了很多开源软件，系统维护方面的有 fabric 、 puppet 、 chef 、 ansible 、 Saltstack 等，这些软件擅长维护系统状态或方便的对大量主机进行批量的命令执行.     Salt灵活性强大，可以进行大规模部署，也能进行小规模的系统部署，Salt的设计构造适用于任意数量的服务器，从少量本地网络系统到跨越整个数据中心，扩扑架构都是C/S模型，配置简单.     不管是几台、几百台、几千台服务器

译者博客 原文出处 前言 Public Key Infrastructure（PKI)，中文叫做公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。但是如果这么解释起来，到底是个什么东西，大家想必是没办法理解的。 现在大家的很多重要活动都是通过网络进行的，那么与之俱来的安全问题就显得非常重要。同时很多安全保障机制都是基于PKI的，如果你因为各种原因（考试？提案？好奇？）想知道各种PKI是什么。那么通过这篇文章，绝对让你5分钟知道什么是PKI。 PKI不好理解的原因是，这个概念包括了很多不同的技术和知识，同时又因为这个概念很庞大，让人感觉无从下手。但是，这个概念其实没有看起来那么复杂，让我们开始说明吧！ 第1分钟 - PKI的核心是身份证明书的发行 PKI的主要目的是用来发行“身份证明书”，网络上因为大家不能见面，所以伪造身份是非常容易的事情。因为要在网络上验明正身，所以这个网络身份证明书就变得很重要了。 相互通信的时候，如果能相互确认身份证明书，那么我们就知道自己是在跟对的人通信。 但是，自己做的身份证明书是不能拿来作为证明的，就像生活中，如果公民身份证可以私人合法制作的话，那么身份证也就没啥可信度了。网络世界中，我们需要一个信得过的发证机关来发行身份证明书，同时自己要好好保管自己的身份证明书，就像派出所给你发了公民身份证，自己要好好保管一样。 PKI的世界里

转：https://www.cnblogs.com/jerain6312/p/8572841.html 前言 Public Key Infrastructure（PKI)，中文叫做公开密钥基础设施，也就是利用公开密钥机制建立起来的基础设施。但是如果这么解释起来，到底是个什么东西，大家想必是没办法理解的。 现在大家的很多重要活动都是通过网络进行的，那么与之俱来的安全问题就显得非常重要。同时很多安全保障机制都是基于PKI的，如果你因为各种原因（考试？提案？好奇？）想知道各种PKI是什么。那么通过这篇文章，绝对让你5分钟知道什么是PKI。 PKI不好理解的原因是，这个概念包括了很多不同的技术和知识，同时又因为这个概念很庞大，让人感觉无从下手。但是，这个概念其实没有看起来那么复杂，让我们开始说明吧！ 第1分钟 - PKI的核心是身份证明书的发行 PKI的主要目的是用来发行“身份证明书”，网络上因为大家不能见面，所以伪造身份是非常容易的事情。因为要在网络上验明正身，所以这个网络身份证明书就变得很重要了。 相互通信的时候，如果能相互确认身份证明书，那么我们就知道自己是在跟对的人通信。 但是，自己做的身份证明书是不能拿来作为证明的，就像生活中，如果公民身份证可以私人合法制作的话，那么身份证也就没啥可信度了。网络世界中，我们需要一个信得过的发证机关来发行身份证明书

定义 不对称算法 公钥 私钥 证书 证书的颁发机构的信息 本证书的颁发机构标识 颁发机构对本证书的签名得到的加密结果 证书拥有者的信息 标识 公钥 证书用到的算法 散列算法 不对称算法 颁发机构 给本证书签名的父证书与父证书的私钥的拥有者 CA 证书链 根证书 国际认证机构 颁发主体 本证书与其私钥的拥有者 厂商 软件发行者 签名 使用证书指定的算法对信息进行散列与不对称加密 生成结果： 用到的证书 加密结果 存储区 是保留和管理证书的物理存储区 StoreLocation LocalMachine CurrentUser StoreName Root My AddressBook AuthRoot CertificateAuthority Disallowed TrustedPeople TrustedPublisher 密钥容器 包含一个/对密钥与存储所需的相关信息： 是否允许导出密钥 密钥种类 工具 CertMgr.msc MMC.exe MakeCert.exe Cert2Spc.exe SignTool.exe pvk2pfx.exe 解决 颁发机构与厂商各藏有自己私有的私钥 用户有颁发机构的公钥 用户的操作系统中安装了知名颁发机构的证书 信任关系可以传递 厂商发布的产品若已签名，则此签名的安全信任关系可以一直追踪到用户信任的颁发机构，则此产品是安全的 实践 测试