在我的环境中,我pipe理大约10台需要定期更新软件包的Linux服务器。 我有一个脚本编写连接到每个单独运行更新。 另外,我在每台服务器上安装了RSA密钥。 这是我的代码: hosts=(host1 host2 host3 host4) read -sp "sudo password (will be used on all servers): " password && echo "" for host in ${hosts[@]} do echo "——————————————-$host—————-" ssh -t $host "sudo -Sp '' apt-get update <<EOP && sudo apt-get upgrade -y $password EOP" done 我的目标是read一次密码,然后让apt-get update在没有提示的情况下运行。 目前在运行脚本时,系统会在每个系统上的echo声明后input密码。 在监视/var/log/auth.log文件时,直到input密码之后才会生成条目。 (我期望用RSA密钥login尝试失败)。 直接连接到每个服务器时,RSA密钥可正常工作,并可通过检查/var/log/auth.log文件进行validation。 在服务器上使用tail -F […]
我解释make rsa密钥的步骤。 创buildrsa密钥 [user@host01 .ssh]$ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/user/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user/.ssh/id_rsa. Your public key has been saved in /home/user/.ssh/id_rsa.pub. The key fingerprint is: 64:ae:ab:be:df:39:93:48:0d:7f:f1:8c:3e:7a:92:ae user@host01 它复制到host02 [user@host01 […]
# apachectl -version Server version: Apache/2.4.7 (Ubuntu) Server built: Jul 22 2014 14:36:38 我已经configuration了SSLCipherSuite ( SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 )的SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 。 我也testing了各种组合。 我已经使用openssl ciphers检查了主机上可用的openssl ciphers ,并且有很多RSA密码。 这里是我的mod_ssl.so的依赖关系: # locate mod_ssl.so /usr/lib/apache2/modules/mod_ssl.so # ldd `locate mod_ssl.so` linux-vdso.so.1 => (0x00007fffb5dfe000) libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f915c0ba000) libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f915bce0000) [… omitted libpthread and libc …] /usr/bin/openssl上的ldd对libssl和libcrypto(v 1.0.0)产生相同的依赖关系。 我无法使用RSA密码获得连接。 我检查了使用openssl […]
我的老板让我想出了一个方法来实现RDP访问服务器的双因素authentication。 所以,当我的任何一个pipe理员通过RDP远程login服务器时,他们必须通过某种forms的双因素身份validation。 我们希望第二个因素是存储在pipe理员本地证书存储区中的用户证书(不需要FOB或电话应用程序)。 看起来好像我可以使用现有的NPS服务器完成这项工作,并将RDP网关服务器添加到组合中。 我们以前使用RSA,但根据以往的经验,我宁愿不去那里,如果Windows可以天真地做到这一点,那就是我喜欢去的方式。 任何指南或指导将不胜感激。 更新:所以我在几个方面攻击了这个: 我已经build立并configuration了一个RD网关服务器。 我开始只是RD网关和RD Web工作,然后我join了RSA Web客户端。 这种configuration的工作原理和满足我们的需求只有几个缺点:a)我们必须抛弃我们的RD工具(我使用并且喜欢远程桌面pipe理器),因为我们必须通过RD Web来连接到服务器b)RDWeb没有“绕过本地地址”的选项。 我一直在与EMC RSA进行沟通,这至less是一个令人沮丧的行为。 此方法的configuration是RDP客户端通过RD网关连接到服务器,并让RD网关对RSA服务器执行半径调用以进行身份validation。 这个设置看起来非常接近,除了当我尝试validationRSAdebugging日志报告时,我几乎可以看到终点线。 Request has invalid syntax (eg invalid, missing or duplicate attributes), Rejecting 。 我现在正在等待第二个RSA技术人员回到我的意思是什么和/或什么参数没有通过NPS到RSA。 我也一直在考虑尝试使用用户证书作为身份validation的第二个因素。 我的老板认为,当试图将RDPjoin服务器时,除了用户名和密码之外,存储在本地机器的证书存储中的用户证书将满足他的双因素要求,但是没有安装智能卡读卡器,我无法弄清楚如何将用户证书传递给RD网关。 我已经开始寻求桌面虚拟智能卡(试图通过笔记本电脑使用Windows 8虚拟智能卡function),但是我的脑海里又有一个声音说“必须有一个更好的方法” 。 根据我迄今为止的经验,我一直在尝试放弃RSA,转而使用另一种产品,如Azure现场多因素身份validation选项, DuoSecurity或Wikid,但基于在RSA上投资,我的老板是不愿意改变。 有没有人有任何使用用户证书authentication到RDP的经验?
我正在寻找EJBCA用于生成一般私钥(CA,Sub-Ca,证书…)的方法。 比如说你想要RSA 2048的密钥大小。 生成过程是否全部在EJBCA应用程序中完成? 他们是否依赖基于Java EE的应用程序服务器随机生成(在我的情况下是Jboss)? 是否有一个地方与本地实施的随机数生成的链接,例如在Linux / dev /(u)随机? 什么是熵的水平,他们保证一个?
默认的letsencrypt包的cli.ini文件在哪里? 从让我们encryption文档 ,可以在cli.ini文件中设置默认的rsa密钥长度,但是我找不到这个文件。 我想确保所有的证书都具有与我最初使用默认设置启动相同的密钥大小,但是我使用certbot renew –rsa-key-size 3072 –nginx增加了最后一个证书的密钥长度。 通过在cli.ini中更改这将是全球性的,我不必担心它。 我也注意到/etc/cron.d中有一个certbot cronjob。 我能否安全地追加–nginx命令? 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew 将会 0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot […]
我已经尝试将PEM编码的密钥转换为DER格式,并且不pipe-passout参数如何,密码都被剥离了。 例: openssl rsa -in tmp.pem -outform DER -out tmp.der -passin pass:foo -passout pass:bar -des3 由此产生的密钥不再受密码保护,所以我假设DER格式不支持密码 – 是否正确? 有什么替代方式来存储这个紧凑的二进制forms,并保持密码保护?
SSH RSA指纹有什么好处? 和PGP有什么不同? 我怎样才能使用它? 有没有什么工具可以做到这一点? 问候
我一直在关注这个教程 ,在Ubuntu Server 10.04上使用Windows 7作为客户端来安装和设置git。 但是,在终于弄清楚它是如何工作的(在错误的键上执行gitosis-init一堆)之后,我将id_rsa.pub文件复制到/tmp文件夹中的服务器并再次运行。 不幸的是,它仍然不工作,当我执行 git clone [email protected]:gitosis-admin.git 它要求gitosis的密码,而不是RSA密码。 我假设这个人在这里有同样的问题…但是,按照他的指示: 清除git-core和gitosis并手动删除/ srv / gitosis文件夹 并再次按照说明 (这次与正确的id_rsa.pub文件),我仍然有同样的问题。 任何人都知道我在做什么错了? 有没有什么办法来探索可能有助于解决这个问题的更多信息? 编辑:输出从ssh -vvv gitosis@{IP_ADDRESS} (最后几行显示它从publickey切换到密码): {UserName}@{COMPUTERNAME} ~ $ ssh -vvv gitosis@{IP_ADDRESS} OpenSSH_4.6p1, OpenSSL 0.9.8e 23 Feb 2007 debug2: ssh_connect: needpriv 0 debug1: Connecting to {IP_ADDRESS} [{IP_ADDRESS}] port 22. debug1: Connection established. debug1: identity file /c/Users/{UserName}/.ssh/identity type […]
我试图使用RSA密钥而不是密码来configuration对CentOS服务器的SSH访问,但拒绝接受密钥。 以下是我迄今为止所做的: 在客户机(OSX)上: ssh-keygen -b 4096 -C "[email protected]" -t rsa // no passphrase 在服务器上(CentOS 5): cat id_rsa.pub >> ~/.ssh/authorized_keys2 chmod 700 ~/.ssh chmod 600 ~/.ssh/* chmod go-w ~/ // Added to /etc/ssh/sshd_config: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys2 // and finally restart sshd /sbin/service sshd restart 回到客户端尝试连接: ssh [email protected] -v debug1: Found key in /Users/jwood/.ssh/known_hosts:16 […]