1、創(chuàng)建私有CA并進行證書申請

1 創(chuàng)建CA相關(guān)目錄和文件

[root@centos8 ~]#mkdir /etc/pki/CA/{certs,crl,newcerts,private}

[root@centos8 ~]#touch /etc/pki/CA/index.txt

[root@centos8 ~]#echo 0F > /etc/pki/CA/serial

2 創(chuàng)建CA的私鑰

[root@centos8 ~]#cd /etc/pki/CA/

[root@centos8 CA]#(umask 066;openssl genrsa -out private/cakey.pem 2048)

3 給CA頒發(fā)自簽名證書

[root@centos8 ~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650  -out /etc/pki/CA/cacert.pem 2048

4 用戶生成私鑰和證書申請

[root@centos8 ~]#mkdir /data/app1

[root@centos8 ~]#cd /data/app1/

#生成私鑰文件

[root@centos8 app1]#(umask 066; openssl genrsa -out /data/app1.key 2048)

#生成證書申請文件

[root@centos8 app1]#openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

5 CA頒發(fā)證書

[root@centos8 app1]# openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

2、總結(jié)ssh常用參數(shù)、用法

格式：
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常用選項：
-p port 遠程服務(wù)器監(jiān)聽的端口
-b 指定連接的源IP
-v 調(diào)試模式
-C 壓縮方式
-X 支持x11轉(zhuǎn)發(fā)
-t 強制偽tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh
remoteserver3
-o option 如： -o StrictHostKeyChecking=no
-i <file> 指定私鑰文件路徑，實現(xiàn)基于key驗證，默認使用文件：~/.ssh/id_dsa，~/.ssh/id_ecdsa，~/.ssh/id_ed25519，~/.ssh/id_rsa等

范例：遠程執(zhí)行命令

[root@centos8 ~]#ssh 10.0.0.100 hostname -I

范例：在遠程主機運行本地 shell腳本

[root@centos8 ~]#ssh 10.0.0.18 /bin/bash <test.sh

生成密鑰對

[root@centos8 ~]#ssh-keygen

拷貝公鑰

[root@centos8 ~]#ssh-copy-id -i .ssh/id_rsa.pub 10.0.0.7

3、總結(jié)sshd服務(wù)常用參數(shù)

服務(wù)器端的配置文件：/etc/ssh/sshd_config
服務(wù)器端的配置文件幫助：man 5 sshd_config
常用參數(shù)：
Port #生產(chǎn)建議修改
ListenAddress ip
LoginGraceTime 2m
PermitRootLogin yes #默認ubuntu不允許root遠程ssh登錄
StrictModes yes #檢查.ssh/文件的所有者，權(quán)限等
MaxAuthTries 6 #pecifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value,additional failures are logged. The default is 6.
MaxSessions 10 #同一個連接最大會話
PubkeyAuthentication yes #基于key驗證
PermitEmptyPasswords no #空密碼連接
PasswordAuthentication yes #基于用戶名和密碼連接
GatewayPorts no
ClientAliveInterval 10 #單位：秒
ClientAliveCountMax 3 #默認3
UseDNS yes #提高ssh連接速度可改為no
GSSAPIAuthentication yes #提高ssh連接速度可改為no
MaxStartups #未認證連接最大值，默認值10
Banner /path/file
以下可以限制可登錄用戶的辦法：
AllowUsers user1 user2 user3
DenyUsers user1 user2 user3
AllowGroups g1 g2
DenyGroups g1 g2

4、搭建dhcp服務(wù)，實現(xiàn)ip地址申請分發(fā)

[root@centos8 ~]#yum -y install dhcp-server
[root@centos8 ~]#cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf
[root@centos8 ~]#vim /etc/dhcp/dhcpd.conf    #修改subnet
[root@centos8 ~]#systemctl start dhcpd
[root@centos8 ~]#ss -ntul    #67端口已打開
[root@centos8 ~]#vim /etc/dhcp/dhcpd.conf    #修改要分配的地址范圍
[root@centos8 ~]#systemctl restart dhcpd