来自 应用 2022-06-08 18:40 的文章

ddos怎么防_福州高防服务器_新用户优惠

ddos怎么防_福州高防服务器_新用户优惠

通过ChoriaPalantirFollowNov 212019·5分钟阅读

编者注:本文内容最初发表在Choria的博客上。

Choria是一个基础设施编排系统,是McCollective的继承者。它与Puppet集成良好,安全、快速,用Golang编写,易于扩展。我们使用Choria在集群中协调一次性任务(或者不适合Puppet的复杂任务)。当我们为内部使用评估Choria时,一个痛处是缺乏对硬件身份验证令牌的支持。我们查看了代码库,并与主要维护人员R.I.Pienaar进行了讨论,阿里云dns防御ddosip,决定为Choria代码库提供硬件安全令牌支持。这篇文章简要介绍了pkcs11,然后描述了如何为硬件令牌配置Choria。

什么是pkcs11?

pkcs11代表"公钥加密标准#11"。这是一套如何与加密令牌交互的标准。您可能听说过硬件安全模块(HSM)或智能卡;pkcs11是软件与这些东西的交互方式。

HSMs的强大之处在于,敏感的加密材料是在硬件上生成的,永远不会离开它。因此,您不是打开私钥文件并用它对哈希值进行签名,而是将哈希值交给您的Yubikey,防御CC香港服务器,Yubikey对其进行签名并返回数据。还有法规遵从性优势(因为安全性更强)。一些HSM符合FIPS,这是某些计算环境所需要的。Yubikeys和CAC在大规模环境中的使用越来越多;如果您还没有了解这些东西的使用情况,那么最好进行调查。

如何开始使用pkcs11?

以下示例适用于OS X/Linux环境。让我们来看看如何设置一个yubikey(HSM品牌)与Choria一起使用。ykman是一个你必须下载才能继续使用的工具。让我们先清除Yubikey。

$ykman piv重置警告!这将删除所有存储的PIV数据并恢复出厂设置。继续[成功!所有PIV数据都已从你的YubiKey中清除。你的YubiKey现在拥有默认PIN,PUK和管理密钥:PIN:123456PUK:12345678管理密钥:0102030405060708010201030405060708010203405060708

现在我们需要在Yubikey上生成私钥:

$ykman piv生成密钥-P 123456-m 0102030405060708010020030405060708-PIN策略一次-触摸策略缓存9a test.pub

命令在发送加密请求之前,您必须输入pin,当您发送加密请求时,您必须触摸Yubikey。触摸后,您可以在15秒内执行更多请求,然后再触摸。该命令还生成一个公钥文件,您将使用该文件生成CSR,以便您可以为您的Yubikey获取签名证书。

$ykman piv generate CSR-s ptittle-P 123456 9a test.pub test.CSR

如上所述,我们使用之前获得的公钥生成了一个名为ptittle的CSR,并生成了一个CSR文件。现在您有了CSR文件,您可以让任何证书颁发机构对其进行签名。一旦你有了,获取他们给你的证书文件,并将其放入test.crt.

$ykman piv导入证书——pin 123456-m 01020304050607080102300405060708010203405060708 9a test.crt

该命令将你的证书导入Yubikey。现在,您的Yubikey已配置为供Choria使用!上述教程虽然专门针对Yubikeys,但也适用于其他HSM。您将始终需要生成密钥、设置pin、创建CSR,然后将证书返回到HSM上。

如何配置Choria以使用我的HSM?

以下假设您在插入HSM的同一主机上运行Choria。稍后我们将讨论转发HSM连接。首先,安装opensc,一个允许软件与HSM对话的库。然后,在您的客户端配置文件中,添加/更改以下内容:

plugin.security.provider:"pkcs11"plugin.security.pkcs11.slot:0plugin.security.pkcs11.driver_文件:"/usr/local/lib/opensc-pkcs11.so"

您的驱动程序文件位置可能会有所不同,因此进行相应调整。然后,低成本ddos防御海外高防,像往常一样,ddos防御怎么实现,配置Choria以信任证书的公共名称。要进行测试,请尝试运行choria req rpcutil ping。系统将提示您输入pin。一旦输入,应正常运行!

如何将HSM转发到集群的bastion主机?

很可能您的计算环境无法直接从工作站访问。在这种情况下,您可以使用p11工具包创建一个套接字,然后通过SSH将其转发到集群的堡垒主机。从那里,您可以如上所述配置Choria,但使用p11工具包驱动程序文件。该驱动程序知道如何找到转发的套接字,因此它可以将加密请求发送回您的工作站!让我们将所有这些细节解包,并从工作站端的更改开始。在工作站上的.bash_配置文件中添加以下内容:

函数proxyyubi(){mkdir-p~/.xdg/rm-rf~/.xdg/p11 kit/export xdg_RUNTIME_DIR=~/.xdg/token_url=$(p11tool--provider/usr/local/lib/opensc-pkcs11.so--列出令牌url)eval$(p11 kit server--provider/usr/local/lib/lib/opensc-pkcs11.so"{token url}")ln-sf${P11_KIT_SERVER_ADDRESS#*=}~/pkcs11 echo"已创建yubikey套接字,按常规进行ssh"}

用opensc库的位置替换库路径。并在相关位置更改homedir。现在在工作站上安装p11工具包。现在连接到bastion主机并安装p11套件。运行systemd path用户运行时;输出应该类似于/run/user/632000069。返回到您的工作站,编辑~/.ssh/config,ddos云服务器的防御,并为您的bastion主机添加一个条目(如果您还没有)。添加以下内容:

RemoteForward/run/user//p11 kit/pkcs11/Users//pkcs11