1、判断UID是否大于等于500,如果为真就显示为普通用户,如果为假就显示为系统或管理用户
awk -F: '{if($3>500){print $1" is 普通用户"}else{print $1" is 系统账户"}}' /etc/passwd
2、显示用户id为奇数的用户。
awk -F: '$3%2==1{print $0}' /etc/passwd
3、统计web服务访问日志中的ip访问量
awk '{ip[$1]++}END{for(i in ip){print i,ip[i]}}' /var/log/httpd/access_log
4、简述加密类型以及数据加密解密过程
1.对称加密:加密和解密使用同一个密钥;加密算法和解密算法可能不同;
常见对称加密算法:
DES:Data Encryption Standard;
加密端64位明文产生64位密文,解密端使用64位密文还原64位明文;64位为一个块即8个字节,加密和解密使用56位的密钥,DES使用16个迭代块;是现代加密算法,很多s核,p核进行计算;后来被破解;
3DES:Triple DES;
是DES的三个数量级,一个数量级是10的一次方;
AES:Advanced Encryption Standard;
(密钥可为128bits, 192bits, 256bits, 384bits)安全程度非常高;
Blowfish加密算法
Twofish加密算法
IDEA商业加密算法
RC6加密算法
CAST5加密算法
-
特性:
1、加密、解密使用同一个密钥;
2、将原始数据分割成为固定大小的块,逐个进行加密; -
缺陷:
1、密钥过多;
2、密钥分发困难;
2. 公钥加密:密钥分为公钥与私钥,成对儿出现
- 特点:
用公钥加密的数据,只能使用与之配对儿的私钥解密;反之亦然
密钥长度较大,例如512bits,2048bits,4096bits;效率低下; - 用途:
数字签名:主要在于让接收方确认发送方的身份;
密钥交换:发送方用对方公钥加密一个对称密钥,并发送给对方
数据加密 - 常见算法:
RSA:即能签名、又能加密解密;
DSA:数字签名算法(标准)
ELGamal:
公钥加密工作模式
image
- 梳理:
---身份认证的实现:
发送方用自己的私钥加密数据特征码,接收方用对方的公钥解密,如果加密成功即可实现身份认证,因为公钥的成对出现的,私钥只有自己有,公钥所有人都有;
---数字签名的实现:
在身份验证中就依赖到了数字签名,发送方用自己的私钥加密数据特征码这个结果就叫数字签名;因此,数据签名就为了完成身份验证的;
---密钥交换的实现:
自己先生成一个密码,要用对方的公钥加密这个自己生成的密码,然后发送给对方,只有对方能解密,对方解密出来的就得到密码了;所以就能使用这个密码来解密使用对称加密方式加密的数据了;
3. 单向加密:即提出数据指纹(特征码);只能加密,不能解密
- 特性:
定长输出:无论原来的数据是多大级别,其加密结果长度一样;
雪崩效应:原始数据微小改变,将会导致结果巨大变化;
不可逆 - 用途:
数据完整性校验
系统帐号密码校验 - 常见算法:
MD5:128bits定长输出
SHA1: 160bits定长输出
SHA256:
SHA384:
SHA512:
CRC32:
密钥算法:
密钥交换: IKE(Internet Key Exchange)
1、公钥加密:实现密钥交换;
密钥是在网上发送的;
2、DH(Deffie-Hellman)算法
不发送密钥就能使双方完成密钥交换
认证PKI:Public Key Infrastructure
- 公钥基础设施:包括四部分
签证机构:CA
注册机构:RA
证书吊销列表:CRL
证书存取库 - X.509v3:国际标准化组织定义了证书的结构以及认证协议标准,x.509有三版本;
版本号:x.509的版本号;
序列号
签名算法ID:签名的使用算法;
发行者名称:CA的名称
有效期限:两个日期,起始日期和终止日期
主体名称:证书拥有者名称;
主体公钥:证书拥有者自己的公钥
发行者的惟一标识
主体的惟一标识:证书拥有者
ssl协议
-
SSL:Secure sockets Layer
Netscape网警公司: 1994发布,有3个版本;
V1.0, V2.0, V3.0(有漏洞)
TLS: Transport Layer Security
IETF: 1999发布,有4个版本;
V1.0(从来没公开,漏洞多), V1.1, V1.2(主流), V1.3(2014年,没到成熟期) -
TLS协议采用分层设计:
1、最底层:基础算法原语的实现,aes, rsa, md5
2、第2层:各种算法的实现;
3、第3层:组合算法实现的半成品;
4、最高层:用各种组件拼装而成的各种成品密码学协议软件;
ssl的认证过程:
image
第一步:Visitor生成一个随机数,客户端支持的加密方法,发送给服务端
第二步:Server确认双方使用的加密方法,以及一个服务端生成的随机数(Server random)、以及把服务端的数字证书发送个客户端
第三步:客户端验证数字证书,用CA公钥解密证书,查看证书有效期,和是否被吊销,验证通过后,生成一个新的随机数,(称为预备主密钥Pre-master secret),并使用Server的公钥加密预备主密钥发给Server。公钥自然在证书里提取。
第四步:Server使用自己的私钥,解密Visitor发来的预备主密钥。
第五步:Visitor和Server双方都具有了(客户端随机数+服务端随机数+预备主密钥),它们两者都根据约定的加密方法,使用这三个随机数生成对称密钥——主密钥(也称为对话密钥session key),用来加密接下来的整个对话过程。
之后所有的数据在这次会话中只需要使用“对话密钥”即可,不需要多余的机制
5、搭建私有CA并实现证书颁发
第一步:设置openssl的配置文件:/etc/pki/tls/openssl.conf
match:要求申请填写的信息必须和CA设置的信息一致
optional:可有可无,跟CA设置的信息可以不一致
supplied:必须填写的信息
vim /etc/pki/tls/openssl.conf
[ CA_default ]
dir = /etc/pki/CA # Where everything is kept 存放CA的根目录
certs = $dir/certs # Where the issued certs are kept 客户申请证书的存放位置
crl_dir = $dir/crl # Where the issued crl are kept crl(证书吊销列表)目录的位置
database = $dir/index.txt # database index file. 数据库文件
#unique_subject = no # Set to 'no' to allow creation of
# several ctificates with same subject.
new_certs_dir = $dir/newcerts # default place for new certs. 新证书的存放位置
certificate = $dir/cacert.pem # The CA certificate CA自签名证书
serial = $dir/serial # The current serial number 存放序列号的文件
crlnumber = $dir/crlnumber # the current crl number
# must be commented out to leave a V1 CRL
crl = $dir/crl.pem # The current CRL CRL文件
private_key = $dir/private/cakey.pem# The private key 自己的私钥文件
policy = policy_match 匹配下方哪个中括号里面的策略
# For the CA policy
[ policy_match ]
countryName = match 国家名称
stateOrProvinceName = match 省名称
organizationName = match 组织名称
organizationalUnitName = optional 组织单位
commonName = supplied 域名
emailAddress = optional 邮件
第二步: 创建配置文件中所需要的文件
touch /etc/pki/CA/index.txt #创建证书索引数据库文件
echo 01 > /etc/pki/CA/serial #创建第一个证书颁发的序列号文件,以后颁发会自动增长
第三步:生成CA私钥
cd /etc/pki/CA
( umask 066; openssl genrsa -out private/cakey.pem 2048 )
第四步:生成自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:hunan
Locality Name (eg, city) [Default City]:changsha
Organization Name (eg, company) [Default Company Ltd]:aa
Organizational Unit Name (eg, section) []:MIS
Common Name (eg, your name or your server's hostname) []:ns1.aa.com
Email Address []:
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求时用到的私钥文件
-days n:证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径
至此CA创建完成
第五步:颁发证书
- 在需要使用证书的主机上生成证书请求
生成私钥
( umask 066; openssl genrsa -out test.key 2048 )
生成证书请求文件
openssl req -new -key test.key -out test.csr
国家,省,公司必须一致
将CSR文件传给CA
第六步:CA签署证书,并将证书颁发给请求者
openssl ca -in test.csr -out /etc/pki/CA/certs/test.crt -day 365
网友评论