密钥管理

1、加快与X-shell的连接 请参考 https://www.cnblogs.com/elin989898/p/11361866.html 2、用户登录控制 sshd服务默认允许root用户登录，但是在Internet中使用是非常不安全的。普遍的做法如下：先以普通用户远程登入，进入安全shell环境后，根据实际需要使用su命令切换为root 用户 [root@localhost ~]# vi /etc/ssh/sshd_config [root@localhost ~]# systemctl reload sshd [root@localhost ~]# useradd jll 创建用户 [root@localhost ~]# passwd -d jll //清空密码 测试空密码用户是否能够登录。 实验现象： （1)超过系统设置的登陆时间，连接对话会直接断开 （2)连续输入3次错误密码时连接会话会直接断开 （3)通过root用户密码时反复提示输入密码 （4）测试用户空密码时不能登录系统的 3、OpenSSH 服务访问控制 AllowUsers 仅允许用户登录 DenyUsers 仅禁止用户登录 （1)AllowUsers 不要与 DenyUsers 同时使用 （2）当服务器在Internet时，控制包含的ip地址时是公司公网地址 4、登录验证方式 SSH服务支持两种验证方式

IAM 概述 集中管理访问AWS资源的访问权限和用户身份认证 支持联合访问管理，支持LADP第三方服务 （Identity Provider） 是非区域相关的服务，全局有效 创建用户、组和角色以应用策略 安全凭证类型包括： 电子邮件和密码、IAM用户名和密码、访问密匙、多重验证（MFA）、密匙对 密码策略管理和KMS加密解密管理 建议始终使用创建和管理IAM账户来进行操作 IAM遵循最低特权原则，即所有权限被隐式拒绝，而显式拒绝拥有最高优先级 IAM是权限与实体进行匹配的正式语句 策略可以应用于任何实体，包括用户、组和角色 策略可以一对多也可以多对一 委托人 委托人是允许与AWS资源交互的IAM实体，可以是人或应用程序，也可以是临时或永久的。 有三种委托人身份：根用户、IAM用户(组)和角色 根用户 第一次创建AWS时的登录主体，可以完全访问所有账户中的AWS资源与服务 强烈建议不要将根账户用于任何的日常任务或是管理员 必须安全的锁定根用户的用户凭证 根用户也是Billing Account 等同于Owner ，创建AWS账户的实体和Email地址 IAM用户 可以通过IAM服务创建持久性身份，可以是个人或应用程序 IAM用户可以随时由IAM管理权限的主体创建 需要提供与AWS交互的方法, 支持AWS控制台用户名密码、CLI或者SDK等方式管理IAM用户

第一章 网络安全概述 1.2.1 网络安全概念 P4 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 1.2.3 网络安全的种类 P5 （ 1 ）物理安全 （ 2 ）系统安全 （ 3 ）电子商务 （ 4 ）协议安全 （ 5 ）应用系统安全 1.3.5 网络攻击分类 P11 （ 1 ）主动攻击：包含攻击者访问他所需信息的故意行为。 （ 2 ）被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种一点也不会察觉到。被动攻击包括嗅探、收集信息等攻击方法。 1.3.6 常见网络攻击形式 P11 （ 1 ）逻辑炸弹（ 2 ）系统 Bug （ 3 ）社会工程学（ 4 ）后门和隐蔽通道（ 5 ）拒绝服务攻击（ 6 ）病毒、蠕虫和特洛伊木马（ 7 ）网络监听（ 8 ） SQL 注入攻击（ 9 ） ARP 欺骗 1.6 常用网络安全技术 P22 （1） 网络监控技术（ 2 ）认证签名技术（ 3 ）安全扫描技术 （4） 密码技术（ 5 ）防病毒技术（ 6 ）防火墙技术（ 7 ） VPN 技术 1.7 常用网络密码安全保护技巧 P23 （ 1 ）使用复杂的密码（ 2 ）使用软键盘（ 3 ）使用动态密码（一次性密码）（ 4 ）网络钓鱼的防范（ 5 ）使用 SSL 防范 Sniffer （ 6

密码学在计算机科学中使用非常广泛，HTTPS就是建立在密码学基础之上的一种安全的通信协议。HTTPS早在1994年由网景公司首次提出，而如今在众多互联网厂商的推广之下HTTPS已经被广泛使用在各种大小网站中。在完全理解HTTPS之前，有必要弄清楚一些密码学相关的概念，比如：明文、密文、密码、密钥、对称加密、非对称加密、摘要、数字签名、数字证书。 密码 密码学中的密码（cipher）和我们日常生活中所说的密码不太一样，计算机术语『密码 cipher』是一种用于加密或者解密的算法，而我们日常所使用的『密码 password』是一种口令，它是用于认证用途的一组文本字符串，这里我们要讨论的是前者：cipher。 密钥 密钥是一种参数，它是在使用密码（cipher）算法过程中输入的参数。同一个明文在相同的密码算法和不同的密钥计算下会产生不同的密文。很多知名的密码算法都是公开的，密钥才是决定密文是否安全的重要参数，通常密钥越长，破解的难度越大，比如一个8位的密钥最多有256种情况，使用穷举法，能非常轻易的破解，知名的DES算法使用56位的密钥，目前已经不是一种安全的加密算法了，主要还是因为56位的密钥太短，在数小时内就可以被破解。密钥分为对称密钥与非对称密钥。 明文/密文 明文（plaintext）是加密之前的原始数据，密文是通过密码（cipher）运算后得到的结果成为密文

目录 所谓Salt 开始搭建 配置接受密钥 salt命令 YAML详解 目标定位字符串 state模块定义主机状态 Salt采集静态信息之GrainsSalt 原文: http://106.13.73.98/__/108/ @(Saltstack) *** 所谓Salt Saltstack是由thomas Hatch于2011年创建的一个开源项目，设计初衷是为了实现一个快速的 远程执行系统 . Salt有多强大！     系统管理元日常会进行大量的重复性操作，例如安装软件，修改配置文件，创建用户，批量执行命令等等，如果主机数量庞大， 单靠人工维护是在让人难以忍受.     早期的运维人员会根据生产环境编写特定的脚本来完成大量的重复性工作，这些脚本复杂且难以维护，系统管理员面临的问题主要是系统配置管理、远程执行命令。因此而诞生了很多开源软件，系统维护方面的有 fabric 、 puppet 、 chef 、 ansible 、 Saltstack 等，这些软件擅长维护系统状态或方便的对大量主机进行批量的命令执行.     Salt灵活性强大，可以进行大规模部署，也能进行小规模的系统部署，Salt的设计构造适用于任意数量的服务器，从少量本地网络系统到跨越整个数据中心，扩扑架构都是C/S模型，配置简单.     不管是几台、几百台、几千台服务器，都可以使用Salt在一个中心节点上进行管控

目录 所谓Salt 开始搭建 配置接受密钥 salt命令 YAML详解 目标定位字符串 state模块定义主机状态 Salt采集静态信息之GrainsSalt 原文: http://106.13.73.98/__/108/ @(Saltstack) *** 所谓Salt Saltstack是由thomas Hatch于2011年创建的一个开源项目，设计初衷是为了实现一个快速的 远程执行系统 . Salt有多强大！     系统管理元日常会进行大量的重复性操作，例如安装软件，修改配置文件，创建用户，批量执行命令等等，如果主机数量庞大， 单靠人工维护是在让人难以忍受.     早期的运维人员会根据生产环境编写特定的脚本来完成大量的重复性工作，这些脚本复杂且难以维护，系统管理员面临的问题主要是系统配置管理、远程执行命令。因此而诞生了很多开源软件，系统维护方面的有 fabric 、 puppet 、 chef 、 ansible 、 Saltstack 等，这些软件擅长维护系统状态或方便的对大量主机进行批量的命令执行.     Salt灵活性强大，可以进行大规模部署，也能进行小规模的系统部署，Salt的设计构造适用于任意数量的服务器，从少量本地网络系统到跨越整个数据中心，扩扑架构都是C/S模型，配置简单.     不管是几台、几百台、几千台服务器，都可以使用Salt在一个中心节点上进行管控

原文地址： TLS etcd支持用于客户端到服务器以及对等方（服务器到服务器/集群）通信的自动TLS以及通过客户端证书的身份验证. 要启动并运行，首先要获得一个成员的CA证书和签名密钥对。 建议为集群中的每个成员创建并签名一个新的密钥对。 为了方便起见， cfssl 工具提供了一个简单的接口来生成证书，我们在 此处 提供了使用该工具的示例。 或者，尝试使用本指南 生成自签名密钥对 。 基本设置 etcd通过命令行参数或环境变量采用了几种与证书相关的配置选项： 客户端到服务器的通信： --cert-file=<path> :用于SSL/TLS 与 etcd的连接的证书。设置此选项后，advertise-client-urls可以使用HTTPS模式。 --key-file=<path> :证书的密钥。 必须未加密。 --client-cert-auth :设置此选项后，etcd将检查所有传入的HTTPS请求以查找由受信任CA签名的客户端证书，不提供有效客户端证书的请求将失败。 如果启用了身份验证，则证书将为“公用名”字段指定的用户名提供凭据。 --trusted-ca-file=<path> :受信任的证书颁发机构。 --auto-tls :使用自动生成的自签名证书进行与客户端的TLS连接。 对等节点(服务器到服务器/集群)间的通信： 对等节点选项的工作方式与客户端到服务器的选项相同：

在实际生产环境中，不可能一直在服务器本地对服务器进行相应的管理，大多数企业服务器都是通过远程登录的方式进行管理的。当需要从一个工作站管理数以百计的服务器主机时，远程维护的方式将更占优势。 SSH 简介 SSH（Secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行加密处理，其中包括用户登录时输入的用户口令。比以往的Telnet（远程登录）、RSH（远程执行命令）等传统的方式相比，SSH协议提供了更好的安全性。 一、配置OpenSSH服务端 OpenSSH是实现SSH协议的开源软件项目。在CentOS 7.3系统中。OpenSSH服务器由openssh、openssh-server等软件包提供（默认已安装），并已将sshd添加为标准的系统服务。 1.服务监听选项 sshd服务使用的默认端口号为22，必要时建议修改此端口号，并指定监听服务的具体IP地址，以提高在网络中的隐蔽性。除此之外，SSH协议的版本选用v2比v1的安全性要更好，禁用DNS反向解析可以提高服务器的响应速度。 [root@localhost ~]# vim /etc/ssh/sshd_config //修改sshd服务的主配置文件 ………… //省略部分内容 Port 22 //监听端口为22 ListenAddress 0.0.0.0 /

1 什么是SSH SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；它是建立在应用层基础上的安全协议。 SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。 SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。 为了在不同平台/网络主机之间的通信安全, 很多时候我们都要通过 ssh 进行认证. ssh 认证方式主要有2种: ① 基于口令的安全认证: 每次登录的时候都要输入用户名和密码, 由于要在网络上传输密码, 可能存在中间人攻击的风险; ② 基于密钥的安全认证: 配置完成后就可以实现免密登录, 这种方式更加安全 —— 不需要在网络上传递口令, 只需要传输一次公钥. 常见的git的ssh方式就是通过公钥进行认证的. 2 配置SSH免密登录 说明: 这里演示所用的服务器操作系统是Cent OS 7. 我们的目标是: A服务器(172.16.22.131) 能免密登录 B服务器 (172.16.22.132). 注意: ssh连接是单向的, A能免密登录B, 并不能同时实现B能免密登录A. 2.1 安装必需的软件 在操作之前, 先确保所需要的软件已经正常安装. 这里我们需要安装 ssh-keygen 和 ssh-copy

传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的***。所谓“中间人”的***方式，就是“中间人”冒充真正的服务器接收你的传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。 一、什么是ssh SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。 SSH是标准的网络协议，可用于大多数UNIX操作系统，能够实现字符界面的远程登录管理，它默认使用22号端口，采用密文的形式在网络中传输数据，相对于通过明文传输的Telnet，具有更高的安全性。 SSH提供了口令和密钥两种用户验证方式，这两者都是通过密文传输数据的。 不同的是，口令用户验证方式传输的是用户的账户名和密码，这要求输入的密码具有足够的复杂度才能具有更高的安全性。