2019-05-20 第九周作业

1、判断UID是否大于等于500，如果为真就显示为普通用户，如果为假就显示为系统或管理用户

awk -F: '{if($3>500){print $1" is 普通用户"}else{print $1" is 系统账户"}}' /etc/passwd

2、显示用户id为奇数的用户。

awk -F: '$3%2==1{print $0}' /etc/passwd

3、统计web服务访问日志中的ip访问量

awk '{ip[$1]++}END{for(i in ip){print i,ip[i]}}' /var/log/httpd/access_log

4、简述加密类型以及数据加密解密过程

1.对称加密：加密和解密使用同一个密钥；加密算法和解密算法可能不同；

常见对称加密算法：
DES：Data Encryption Standard;
加密端64位明文产生64位密文，解密端使用64位密文还原64位明文；64位为一个块即8个字节，加密和解密使用56位的密钥，DES使用16个迭代块；是现代加密算法，很多s核，p核进行计算；后来被破解；
3DES：Triple DES;
是DES的三个数量级，一个数量级是10的一次方；
AES：Advanced Encryption Standard;
(密钥可为128bits, 192bits, 256bits, 384bits)安全程度非常高；
Blowfish加密算法
Twofish加密算法
IDEA商业加密算法
RC6加密算法
CAST5加密算法

• 特性：
  1、加密、解密使用同一个密钥；
  2、将原始数据分割成为固定大小的块，逐个进行加密；

• 缺陷：
  1、密钥过多；
  2、密钥分发困难；

2. 公钥加密：密钥分为公钥与私钥，成对儿出现

• 特点：
  用公钥加密的数据，只能使用与之配对儿的私钥解密；反之亦然
  密钥长度较大，例如512bits，2048bits，4096bits；效率低下；
• 用途:
  数字签名：主要在于让接收方确认发送方的身份；
  密钥交换：发送方用对方公钥加密一个对称密钥，并发送给对方
  数据加密
• 常见算法：
  RSA：即能签名、又能加密解密；
  DSA：数字签名算法（标准）
  ELGamal：

公钥加密工作模式

image

• 梳理：
  ---身份认证的实现：
  发送方用自己的私钥加密数据特征码，接收方用对方的公钥解密，如果加密成功即可实现身份认证，因为公钥的成对出现的，私钥只有自己有，公钥所有人都有；
  ---数字签名的实现：
  在身份验证中就依赖到了数字签名，发送方用自己的私钥加密数据特征码这个结果就叫数字签名；因此，数据签名就为了完成身份验证的；
  ---密钥交换的实现：
  自己先生成一个密码，要用对方的公钥加密这个自己生成的密码，然后发送给对方，只有对方能解密，对方解密出来的就得到密码了；所以就能使用这个密码来解密使用对称加密方式加密的数据了；

3. 单向加密：即提出数据指纹（特征码）；只能加密，不能解密

• 特性：
  定长输出：无论原来的数据是多大级别，其加密结果长度一样；
  雪崩效应：原始数据微小改变，将会导致结果巨大变化；
  不可逆
• 用途：
  数据完整性校验
  系统帐号密码校验
• 常见算法：
  MD5：128bits定长输出
  SHA1: 160bits定长输出
  SHA256:
  SHA384:
  SHA512:
  CRC32:

密钥算法：

密钥交换： IKE（Internet Key Exchange）
1、公钥加密：实现密钥交换；
密钥是在网上发送的；
2、DH（Deffie-Hellman）算法
不发送密钥就能使双方完成密钥交换

认证PKI：Public Key Infrastructure

• 公钥基础设施：包括四部分
  签证机构：CA
注册机构：RA
证书吊销列表：CRL
证书存取库
• X.509v3：国际标准化组织定义了证书的结构以及认证协议标准，x.509有三版本；
  版本号：x.509的版本号；
序列号
签名算法ID：签名的使用算法；
发行者名称：CA的名称
有效期限：两个日期，起始日期和终止日期
主体名称：证书拥有者名称；
主体公钥：证书拥有者自己的公钥
发行者的惟一标识
主体的惟一标识：证书拥有者

ssl协议

• SSL：Secure sockets Layer
  Netscape网警公司: 1994发布，有3个版本；
  V1.0, V2.0, V3.0（有漏洞）
  TLS: Transport Layer Security
  IETF: 1999发布，有4个版本；
  V1.0（从来没公开，漏洞多）, V1.1, V1.2（主流）, V1.3（2014年,没到成熟期）

• TLS协议采用分层设计：
  1、最底层：基础算法原语的实现，aes, rsa, md5
  2、第2层：各种算法的实现；
  3、第3层：组合算法实现的半成品；
  4、最高层：用各种组件拼装而成的各种成品密码学协议软件；

ssl的认证过程：

image

第一步：Visitor生成一个随机数，客户端支持的加密方法，发送给服务端
第二步：Server确认双方使用的加密方法，以及一个服务端生成的随机数（Server random）、以及把服务端的数字证书发送个客户端
第三步：客户端验证数字证书，用CA公钥解密证书，查看证书有效期，和是否被吊销，验证通过后，生成一个新的随机数，（称为预备主密钥Pre-master secret），并使用Server的公钥加密预备主密钥发给Server。公钥自然在证书里提取。
第四步：Server使用自己的私钥，解密Visitor发来的预备主密钥。
第五步：Visitor和Server双方都具有了(客户端随机数+服务端随机数+预备主密钥)，它们两者都根据约定的加密方法，使用这三个随机数生成对称密钥——主密钥（也称为对话密钥session key），用来加密接下来的整个对话过程。
之后所有的数据在这次会话中只需要使用“对话密钥”即可，不需要多余的机制

5、搭建私有CA并实现证书颁发

第一步：设置openssl的配置文件：/etc/pki/tls/openssl.conf
match:要求申请填写的信息必须和CA设置的信息一致
optional:可有可无，跟CA设置的信息可以不一致
supplied:必须填写的信息

vim /etc/pki/tls/openssl.conf
[ CA_default ]

dir             = /etc/pki/CA           # Where everything is kept 存放CA的根目录
certs           = $dir/certs            # Where the issued certs are kept  客户申请证书的存放位置
crl_dir         = $dir/crl              # Where the issued crl are kept  crl(证书吊销列表)目录的位置
database        = $dir/index.txt        # database index file.  数据库文件
#unique_subject = no                    # Set to 'no' to allow creation of
                                        # several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.  新证书的存放位置

certificate     = $dir/cacert.pem       # The CA certificate  CA自签名证书
serial          = $dir/serial           # The current serial number  存放序列号的文件
crlnumber       = $dir/crlnumber        # the current crl number  
                                        # must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL  CRL文件
private_key     = $dir/private/cakey.pem# The private key  自己的私钥文件

policy          = policy_match  匹配下方哪个中括号里面的策略

# For the CA policy
[ policy_match ]
countryName             = match  国家名称
stateOrProvinceName     = match  省名称
organizationName        = match  组织名称
organizationalUnitName  = optional  组织单位
commonName              = supplied  域名
emailAddress            = optional  邮件

第二步： 创建配置文件中所需要的文件

touch /etc/pki/CA/index.txt  #创建证书索引数据库文件
echo 01 > /etc/pki/CA/serial  #创建第一个证书颁发的序列号文件，以后颁发会自动增长

第三步：生成CA私钥

cd /etc/pki/CA
( umask 066; openssl genrsa -out private/cakey.pem 2048 )

第四步：生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:hunan
Locality Name (eg, city) [Default City]:changsha
Organization Name (eg, company) [Default Company Ltd]:aa
Organizational Unit Name (eg, section) []:MIS
Common Name (eg, your name or your server's hostname) []:ns1.aa.com
Email Address []:

-new：生成新证书签署请求
-x509：专用于CA生成自签证书
-key：生成请求时用到的私钥文件
-days n：证书的有效期限
-out /PATH/TO/SOMECERTFILE: 证书的保存路径

---

至此CA创建完成

第五步：颁发证书

• 在需要使用证书的主机上生成证书请求
  生成私钥

( umask 066; openssl genrsa -out test.key 2048 ) 

生成证书请求文件

openssl req -new -key test.key  -out test.csr

国家，省，公司必须一致
将CSR文件传给CA

第六步：CA签署证书，并将证书颁发给请求者

openssl ca -in test.csr -out /etc/pki/CA/certs/test.crt -day 365