生成一对密钥,本地私钥匹配线上主机的公钥进行登录,比密码登录更加安全方便. 本文适用MAC/Linux的本地环境 1.本地生成一对密钥 ssh-keygen -t rsa 2.把生成的公钥上传到线上主机内 scp ~/.ssh/id_rsa.pub root@你的主机ip:/root/.ssh 3.把公钥内容添加到authorized_keys文件内 cd /root/.sshcat id_rsa.pub >> authorized_keys 4.修改sshd.config文件的配置 vim…

一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器.但是,一般的密码方式登录,容易有密码被暴力破解的问题.所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录.其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远程登录——那就是通过密钥方式登录. 密钥形式登录的原理是:利用密钥生成器制作一对密钥——一只公钥和一只私钥.将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录.这样一来,没有私钥,任何…

在虚拟机(Vmware Workstation)下,安装了CentOS7,现在想通过SSH工具连接虚拟机中的CentOS7 1.  首先,要确保CentOS7安装了  openssh-server,在终端中输入  yum list installed | grep openssh-server 此处显示已经安装了  openssh-server,如果又没任何输出显示表示没有安装  openssh-server,通过输入  yum install openssh-server 来进行安装opens…

2台主机 192.168.30.207 Master 192.168.30.251 Node1 三台主机检查 ~/.ssh 文件夹没有则新建 ssh-keygen -t rsa 一路狂按回车,最终生成(id_rsa,id_rsa.pub两个文件). 把authorized_keys 复制到node上去. cat id_rsa.pub >> authorized_keys scp ~/.ssh/authorized_keys root@192.168.30.251:~/.ssh chmod 64…

在渗透中,经常会发现某管理员主机上保存了大量机器的公私钥用于ssh证书登录.这个时候可以通过这个证书进行远程登录. 先回顾下证书登录通常的配置方法 一.生成不带passphrase的公私钥证书实现免密登录: root@kali:~/.ssh# ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (em…

最近公司出于安全考虑,需要将登录页做成https访问,其他页面仍采用http访问,环境是Linux平台,web服务器采用Tomcat + Nginx.之前没接触过nginx,这两天网上查资料,试了好多,终于有点小成果,特此做一下记录.目前还存在一些问题,希望各位多多指教.下面说一下我的具体做法: 1.将nginx解压到C盘根目录,重命名文件夹为Nginx(版本:1.3.5). 2.生成自签名证书(采用OpenSSL生成),生成工具下载:绿色版OpenSSL工具.rar.自签名测试证书工具.rar…

准备工作:给各个主机取个名字,如master(主节点),slave01(从节点01),slave02(从节点02) 1.修改主机名: hostname master hostname slave01 hostname slave02 2.修改配置文件/etc/hosts,使ip和主机名对应 192.168.202.134 master 192.168.202.140 slave01 192.168.202.141 slave02 3.将master中最全的/etc/hosts主机名列表发送给各个…

前言 针对linux上的用户,如果用户连续3次登录失败,就锁定该用户,几分钟后该用户再自动解锁.Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户. PAM的配置文件介绍 PAM配置文件有两种写法: 一种是写在/etc/pam.conf文件中,但centos6之后的系统中,这个文件就没有了. 另一种写法是,将PAM配置文件放到/etc/pam.d/目录下,其规则内容都是不包含 service 部分的,即不包含服务名称,而/etc/…

先备份/etc/ssh/sshd_config,备份命令为 cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak 1.su                                    (以root用户登录) 2.vi /etc/ssh/sshd_config      (编辑配置文件) 3.输入 / ,查找GSSAPIAuthentication 赋值为no 4.输入 /,查找UseDNS,赋值为 no(该项默认不启用的,要把前面的#删除掉)…

错误及解决办法如下图所示. 第一步:cd ~/.ssh 第二步:vi known_hosts 第三步:删除与访问ip相关条目 附参考链接: https://www.cnblogs.com/york-hust/archive/2012/03/27/2420168.html http://blog.csdn.net/xlgen157387/article/details/52669709…

思路: 客户端私钥存放于客户端,/root/.ssh/id_rsa 将客户端公钥存放于要远程控制服务器上:将客户在公钥id_rsa.pub内容追加到 /root/.ssh/authorized_keys 一般使用 PuTTY 等 SSH 客户端来远程管理 Linux 服务器.但是,一般的密码方式登录,容易有密码被暴力破解的问题.所以,一般我们会将 SSH 的端口设置为默认的 22 以外的端口,或者禁用 root 账户登录.其实,有一个更好的办法来保证安全,而且让你可以放心地用 root 账户从远…

环境:Ubuntu 16 前言 黑客遍地都是,ssh/pop3/ftp等爆破工具的流行让站长的日常运维工作量大大加重.Metasplot,Bruter等工具更是针对以上协议有专门 的破解方法,有字典破解版,枚举破解等.面对着网络背后手里操着高级破解工具/平台/软件的人,为了保证服务器安全,必须把网络 背后的黑手想象的更强大,从攻守的角度来制定服务器安全策略,网络中(非)针对性扫描以及攻击防不胜防,除了使用前面 ubuntu自动拉黑破解ssh服务的IP或者安全运维 -- 更改ssh端口都能挡住一部…

常常要登录多台Linux服务器,过去在Windows下使用SecureCRT,比较省心,配置还可以放到云盘,实时同步.现在改用MAC貌似就没有那么好用的东西了,每次ssh命令登录都需要输入密码,很烦.最终找到iTerm + 以证书方式登录ssh,基本能解决需要记忆ip和用户名密码的问题.具体步骤如下: 一.以证书的方式登录ssh 假设要从机器A ssh到 机器B,则称A为客户端,B为服务器. 1.首先在客户端生成证书,运行命令,会得到如下内容: $ ssh-keygen -t rsa Gener…

开源Linux 专注分享开源技术知识 SSH 是服务器登录工具,提供密码登录和密钥登录. 但是,SSH 还有第三种登录方法,那就是证书登录.很多情况下,它是更合理.更安全的登录方法,本文就介绍这种登录方法. 一.非证书登录的缺点 密码登录和密钥登录,都有各自的缺点. 密码登录需要输入服务器密码,这非常麻烦,也不安全,存在被暴力破解的风险. 密钥登录需要服务器保存用户的公钥,也需要用户保存服务器公钥的指纹.这对于多用户.多服务器的大型机构很不方便,如果有员工离职,需要将他的公钥从每台服务器删除.…

一.前言: ssh远程登录密码认证的方式有三种,password.Keyboard Interactive.Public Key 前面两种方式就是密码认证,含义都是一样大同小异.第三种是登录方式最安全的一种. 下面我们就来实现第三种方式public key秘钥认证方式. 二.原理: ssh客户端利用服务端发过来的私钥,进行登录的认证,认证服务端的公钥.从来实现 安全的访问. 三.准备: 服务端 系统:Centos7.1 四.服务端生成秘钥 ssh-keygen -b 1024 -t dsa 接下…

简单说明: 目前多个大型网站都实现全站HTTPS,而SSL证书是实现HTTPS的必要条件之一. StartSSL是StartCom公司旗下的.提供免费SSL证书服务并且被主流浏览器支持的免费SSL.包括Chrome.Firefox.IE.360.搜狗等浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL上申请免费一年的SSL证书.(到期前两周会得到邮件通知,此时可以免费续签) StartSSL的官方网站是http://www.startssl.com,网站需要提供一个邮箱来申请…

前言 哎,每次过完节都要有一个坑给自己跳.逃不过这个魔爪.这不,一过完春节,回来就发现公司证书出现"此证书的签发者无效". 问题原因 经过一番查找,苹果官方给出了回答. Thanks for bringing this to the attention of the community and apologies for the issues you’ve been having. This issue stems from having a copy of the expired W…

转自: http://www.cnblogs.com/mailingfeng/archive/2012/07/18/2597392.html 因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首先推荐几个文章: 数字证书: http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 数字证书和SSL: http://www.2cto.com/Article/201203/1215…

Xcode 证书生成.设置.应用,与大家分享.如果按下面步骤还不能编译成功,我手把手教你. 开发环境: Mac OS lion 10.7.4 XCode 4.3.3 1         点击钥匙图标 2         在菜单栏中依次选择:钥匙串访问⟶偏好设置⟶证书选项卡,下面两项全部选关闭 3         生成证书请求:钥匙串访问⟶证书助理⟶从证书颁发机构请求证书 4         输入两个电子邮件地址和常用名称.电子邮件地址是你注册AppleID. a)   常用名称输入你在苹果网站注…

原理简介 SSH证书认证登录的基础是一对唯一匹配密钥: 私钥(private key)和公钥(public key).公钥用于对数据进行加密,而且只能用于加密.而私钥只能对使用所匹配的公钥,所加密过的数据进行解密.私钥需要用户单独妥善保管.SSH 客户端使用私钥向服务器证明自已的身份.而公钥是公开的,可以按需将其配置到目标服务器上自己的相应帐号中. 在进行 SSH 登录认证时,进行私钥和公钥协商.如果匹配,则身份得以证明,认证成功,允许登录.否则,将会继续使用密码验证等其它方式进行登录校验. 在…

因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首先推荐几个文章: 数字证书: http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 数字证书和SSL: http://www.2cto.com/Article/201203/121534.html 数字签名: http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_…

0x00 ubuntu server 16.04 开启root密码登录 由于众多VPS默认使用证书验证登录,虽然安全但使用十分不便,所以特提供开启root用户并使用密码登录方法. 0x01 为root账户设置密码 $ sudo passwd root 0x02 进入root账户 $ su root 0x03 编辑sshd_config文件 $ vi /etc/ssh/sshd_config 做如下修改: 1.允许root账户登录 PermitRootLogin without-password…

创建用户登录注意事项 密码是区分大小写的. 只有创建SQL Server登录时,才支持对密码预先进行哈希运算. 如果指定MUST_CHANGE,则CHECK_EXPIRATION和 CHECK_POLICY必须设置为 ON. 否则,该语句将失败. 不支持CHECK_POLICY=OFF和 CHECK_EXPIRATION=ON的组合. 如果CHECK_POLICY设置为OFF,将对lockout_time进行重置,并将CHECK_EXPIRATION设置为OFF. 只有在Windows Serv…

协商交互过程 1.客户端向目标服务器发送登录请求.在SSH 服务启用了证书验证登录方式后,会优先通过证书验证方式进行登录验证. 2.目标服务器根据 SSH 服务配置,在用户对应目录及文件中读取到有效的公钥信息. 3.目标服务器生成一串随机数,然后使用相应的公钥对其加密. 4.目标服务器将加密后的密文发回客户端. 5.客户端使用默认目录或 -i 参数指定的私钥尝试解密. 5.如果解密失败,则会继续尝试密码验证等其它方式进行登录校验.如果解密成功,则将解密后的原文信息重新发送给目标服务器.意思类似于…

WebSphere https默认使用的是安装时生成的IBM签名的证书,该证书密钥长度1024位在某些检查中会认为这不够安全.处理这个问题我们可以创建一个自签名的证书作为默认证书. 登录控制台,安全性--SSL证书和密角管理--密钥库和证书 带*号的是必填项,不带的是可选项可不填,密钥大小下拉选2048 应用然后保存并刷新页面即可(有缓存可能要多刷几遍),不需要重启:应用和控制台都会自动改用新建的证书. 证书更换前后对比如下:…

一.什么是 SSL 证书,什么是 HTTPS 网站? SSL证书是数字证书的一种,类似于驾驶证.护照和营业执照的电子副本.SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发.该安全协议主要用来提供对用户和服务器的认证:对传送的数据进行加密和隐藏:确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准.由于SSL技术已建立到所有主要的浏览器和WEB…

1. SSL证书申请 登录阿里云控制台,查看购买域名中有SSL证书的申请,ssl证书申请中有单域名的申请,配置要申请的域名信息(注意:一个域名下,一次只能添加一个证书,最多申请3个免费证书用于测试),点击确定后,查看审核进度,审核失败点击修改相关信息,将地址.开发人员联系电话填写完成,然后再次提交,一般几分钟之内完成审核. 2.配置域名 审核通过,在DNS解析中添加,刚才申请的域名,配置服务器地址. 3. Tomcat服务器配置 审核通过后,在左侧栏点击CA证书服务查看,证书有效时间为一年 点击…

前提 众所周知,开发iOS应用必须要有iOS证书(Certificates)和配置文件(Provisioning Profiles),那么问题来了: 1.什么是iOS证书,它是如何与app应用关联的?2.iOS开发证书和生产证书有何区别,如何使用的?3.证书与配置文件(Provisioning Profiles)是什么关系,配置文件在Xcode中如何使用?4.证书以及配置文件如何申请?5.什么是Key Pair(公钥/私钥)?如何与证书关联的?6.签名的作用是什么? 准备工作 如果想要进行iOS…

转自:https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL 因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首先推荐几个文章: 数字证书: http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 数字证书和SSL: http://www.2cto.com/Article/201203/121534.html 数字签名: http://www.…

如果你想在 iOS 设备(iPhone/iPad/iTouch)上调试, 需要有 iOS 开发证书和 Profile 文件. 在你拿到这两个文件之后,该如何使用呢? 证书使用说明: 1.  iOS 开发证书:开发证书 (Development Certificate)是一个后缀为 .p12 的文件(Certificates.p12): 在Mac 系统下, 双击这个文件,这个证书会自动导入到 Mac 下的 key chain (钥匙链) 目录下. 2.  iOS 发布证书:发布证书 (Distri…