1、 创建私有CA并进行证书申请。
（1）创建CA所需要的文件
touch /etc/pki/CA/index.txt
echo 01 > /etc/pki/CA/serial

（2）生成CA私钥
umask 066; openssl genrsa -out private/cakey.pem 2048

（3）给CA颁发自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

查看证书：
openssl x509 -in /etc/pki/CA/cacert.pem -noout –text

（4）用户生成私钥和证书申请
mkdir /data/app1
umask 066; openssl genrsa -out /data/app1/app1.key 2048

用户证书申请：
openssl req -new -key /data/app1/app1.key -out /data/app1/app1.csr

5）颁发证书
openssl ca -in /data/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 1000

（6）将证书相关文件发送到用户端使用
cp /etc/pki/CA/certs/app1.crt /data/app1/

2、 总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config
ssh命令配合的常见选项：
-p port：远程服务器监听的端口
ssh 192.168.1.8 -p 2222
-b 指定连接的源IP
ssh 192.168.1.8 -p 2222 -b 192.168.1.88
-v 调试模式
ssh 192.168.1.8 -p 2222 -v
-C 压缩方式
-X 支持x11转发
支持将远程linux主机上的图形工具在当前设备使用
-t 强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh
remoteserver3
-o option 如：-o StrictHostKeyChecking=no
-i 指定私钥文件路径，实现基于key验证，默认使用文件： ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, _{/.ssh/id_ed25519，}/.ssh/id_rsa等

3、总结sshd服务常用参数。
服务器端的配置文件: /etc/ssh/sshd_config
常用参数：
Port #端口号
ListenAddress ipLoginGraceTime 2m #宽限期
PermitRootLogin yes #默认ubuntu不允许root远程ssh登录
StrictModes yes #检查.ssh/文件的所有者，权限等
MaxAuthTries 6
MaxSessions 10 #同一个连接最大会话
PubkeyAuthentication yes #基于key验证
PermitEmptyPasswords no #空密码连接
PasswordAuthentication yes #基于用户名和密码连接
GatewayPorts no
ClientAliveInterval 10 #单位:秒
ClientAliveCountMax 3 #默认3
UseDNS yes #提高速度可改为no
GSSAPIAuthentication yes #提高速度可改为no
MaxStartups #未认证连接最大值，默认值10
Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3
DenyUsers
AllowGroups
ssh服务的最佳实践
建议使用非默认端口
禁止使用protocol version 1
限制可登录用户
设定空闲会话超时时长
利用防火墙设置ssh访问策略仅监听特定的IP地址
基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12|
xargs
使用基于密钥的认证
禁止使用空密码
禁止root用户直接登录
限制ssh的访问频度和并发在线数
经常分析日志

4、搭建dhcp服务，实现ip地址申请分发
1）.服务器端安装DHCP服务
yum install dhcp
2）.将DHCP配置模板 dhcpd.conf.sample 复制到 /etc/dhcp/ 下，替换dhcpd.conf
cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
3）.设置DHCP服务开机启动
chkconfig dhcpd on
4）.配置文件更改
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.100 192.168.0.200;
option domain-name-servers 192.168.0.1;
option domain-name “internal.example.org”;
option routers 192.168.0.1;
option broadcast-address 192.168.8.255;
default-lease-time 600;
max-lease-time 7200;
host xuegod63 { #这一段内容，要写在subnet字段中，和subnet配合使用。
hardware ethernet 00:0C:29:12:ec:1e;
fixed-address 192.168.0.251;
}
}
5）.DHCP服务启动
service dhcpd start

6）.客户端将网卡 eth0 和 eth1 配置为DHCP方式获取IP。

7）.重启网络服务
service network restart
8）.查看是否通过DHCP自动获取IP，同时eth0 的IP是否绑定为 192.168.8.2

原文地址：https://www.cnblogs.com/ture/p/15488083.html

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。