1、创建私有CA并进行证书申请。
mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private}
touch /etc/pki/CA/index.txt
echo 0F > /etc/pki/CA/serial
创建CA的私钥
(umask 066; openssl genrsa -out private/cakey.pem 2048)
给CA颁发自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
用户生成私钥和证书申请
(umask 066; openssl genrsa -out /test/app1/app1.key 2048)
openssl req -new -key /test/app1/app1.key -out /test/app1/app1.csr
CA颁发证书
openssl ca -in /test/app1/app1.csr -out /etc/pki/CA/certs/app1.crt -days 3650
查看证书
2、总结ssh常用参数、用法
格式
ssh [user@]host [COMMAND]
ssh [-l user] host [COMMAND]
常见选项
- -p port #远程服务器监听的端口
- -b #指定连接的源IP
- -v #调试模式
- -C #压缩方式
- -X #支持x11转发
- -t #强制伪tty分配,如:ssh -t remoteserver1 ssh -t remoteserver2 ssh remoteserver3
- -o option 如:-o StrictHostKeyChecking=no 不用登的时候输入yes
- -i <file> #指定私钥文件路径,实现基于key验证,默认使用文件: ~/.ssh/id_dsa,
~/.ssh/id_ecdsa, /.ssh/id_ed25519,/.ssh/id_rsa等
远程执行命令
ssh root@10.0.0.152 "hostname -I"
SCP命令
- 把本地拷贝到远程
scp 本地目录/文件 用户@远程地址:目录/文件 - 把远程拷贝到本地
scp 用户@远程地址:目录/文件 本地目录/文件 - 把远程拷贝到远程
scp 用户@远程地址:目录/文件 用户@远程地址:目录/文件
rsync命令
rsync -av /etc server1:/tmp #复制目录和目录下文件
rsync -av /etc/ server1:/tmp #只复制目录下文件
rsync -auv --delete /data/test 10.0.0.152:/data #源数据删除,目标数据也自动同步删除
-r 递归
3、总结sshd服务常用参数。
ssh高级用法
1. SSH本地端口转发
ssh -L localport:remotehost:remotehostport sshserver
在153上安装httpd
2. SSH远程端口转发
ssh -R sshserverport:remotehost:remotehostport sshserver
ssh-server
vim /etc/ssh/sshd_config
GatewayPorts yes
打开gateway功能,否则无法打开所有IP对应的端口
systemctl restart sshd
ssh-client
ssh -fNgR 9528:10.0.0.153:80 10.0.0.151
3. SSH动态端口转发(略)
4、搭建dhcp服务,实现ip地址申请分发
dhcp-server
dnf install -y dhcp-server
vim /etc/dhcp/dhcpd.conf
systemctl enable --now dhcpd
client
网卡配置dhcp,关闭vmware网卡dhcp
