#TLS
#第一、Openssl 生成公私密钥
#进入openssl安装目录,"/usr/src/crypto/openssl/apps"
#执行"CA.pl -newca"
1、openssl req -new -nodes -keyout keyname.pem -out reqname.pem -days 365
#-new 代表新生成,-nodes 表示不要密封,-keyout 私钥名字,-out CSR 文件名, -days 365 有效期一年。
2、回答提示问题
Country Name (2 letter code) [AU]:CN
#2个字节的代码
State or Province Name (full name) [Some-State]:QingDao #州、省全名
Locality Name (eg, city) []:QingDao
#城市全名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ZHAO.L
#公司、组织名
Organizational Unit Name (eg, section) []:ZHAO.L
#部门名称
Common Name (eg, YOUR name) []:ZHAO.L
#你的名字
A challenge password []: your password #输入验证密码
n optional company name []:ZHAO.L
#可选
#第二、核发证书
openssl ca -out mail_signed_cert.pem -infiles mailreq.pem
#mailreq.pem为上一步所产生的CSR文件,-out 后的 mail_signed_cert.pem变为 CA所核发的证书
#-----SSH--------
#--putty 采用key登陆--
1、下载"puttygen.exe",并运行
2、选择"SSH-2 RSA"参数,然后点击"gengerate",默认生成1024位的key,文件名设为"id_rsa","id_rsa.pub"进行保存。
3、将生成的public key权限改为600,上传到远程服务器。
4、执行"ssh-keygen -i >> .ssh/authorized_keys" ,输入public key所在完整路径、文件名,确定。
5、修改sshd_config文件,去掉“PasswordAuthentication no”的批注
6、“UsePAM yes” 该为 “UsePAM no“
7、/etc/rc.d/sshd restart 后生效
#修改sshd服务监听端口,修改sshd_config
Port 6022
#重启sshd生效
/etc/rc.d/sshd restart
#客户端联机
#Linux平台,SSH自动抵御程序
Fail2Ban
#Fail2Ban 安装、配置
#安装
1、解压,进入解压后的目录
2、python setup.py install
#配置
fail2ban start -b
2、修改ssh监控日志,改为"logfile = /var/log/auth.log"
#配置参数
#最大失败次数
maxfailures = 3
#阻止时间
#永久阻止,设定否定值。
bantime = -1
#默认时间单位为‘妙’
bantime = 600
#指定管理者ip
ignoreip = 192.168.0.1
#设置fail2ban日志文件位置
logtargets = /var/log/fail2ban.log
#socket在关闭时的几个主要状态
#*TIME_WAIT* (FAQ 1578 )
当一个socket进程结束后,相应的socket仍会保持TIME_WAIT状态4分钟。这样的目的是为了保证那些因某些原因在网络上传送很慢的包在这个scoket完全关闭之前到达。
这样后来使用同样的socket的进程不会收到本应发给前一个使用该socket的进程的数据包。
相关参数:
tcp_keepalive_interval
tcp_ip_abort_interval
tcp_close_wait_interval *
#*FIN_WAIT_2* (FAQ 3285 )
当server收到一个关闭TCP连接的请求时,它会发一个设置了FIN位的packet给client。client会回应一个设置了ACK位的 packet。然后,client会发送一个设置了FIN位的packet给server,server回应一个ACK,这个连接应关闭了。server 接收到client的ACK,然后开始等待client的FIN包的状态就是FIN_WAIT_2。
在FIN_WAIT_2状态,server不会往client发送数据和控制信息,它只是等待client的FIN包。
相关参数:
tcp_fin_wait_2_flush_interval 系统将会flush out处于FIN_WAIT_2状态的TCP连接的间隔,理论上最小值为6750ms。
#*CLOSE_WAIT* (INFO 19137 )
TCP连接总处于CLOSE_WAIT状态是由于当TCP没有开始协议中的CLOSE阶段。
TCP连接中CLOSE_WAIT状态的发生是当server没有收到应用程序的CLOSE,但应用程序已经终止了。这可能是一个有问题的应用程序在关闭窗口并结束之后发出了FIN包。有时候是当Solaris系统缺少kernal,tcp,ip,libnsl 或 rpcbind等patch造成。
CLOSE_WAIT状态意味着连接的另一端已经关闭了,而本地端仍在等待应用程序关闭。一个不确定的TCP连接指示着存在应用一级的bug。
在收到一个从远端发来的FIN之后,收到应用程序发出的CLOSE之前,TCP连接将从ESTABLISHED状态变为CLOSE_WAIT状态, after
从CLOSE_WAIT-> LAST_ACK的转换是在应用程序发出CLOSE时发生的。在转换过程中,TCP会安排(schedule)发送一个FIN,这个FIN将在保留的数据之后发出,如果接收端已经关闭了窗口可能会被延迟。
------2006年12月5日----------
#设置ftp-proxy超时时间
2、在命令ftp-proxy 后,加入“-t 120”参数,120默认单位为'秒',意思是120秒后超时终断。例如:
ftp-proxy stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy -t 120
-------2006年11月30日-----------
#ftp命令
get file <==取得远程主机的档案
mget file <==取得所有的档案,例如 mget .bash* !
put file <==将本地端档案 file 丢到远程主机上
mput file <==与 mget 差不多意思啦!
delete file <==杀掉远程主机的 file 档案
help <==显示求救指令!
mkdir dir <==在远程主机上面建立目录
flcd <==变换本地端路径!
