Ubuntu Linux下安装单包认证fwknop，并且测试敲门认证流程

安装环境：Ubuntu虚拟机20.04LTS(server &client)

以下步骤依据fwknop官方文档[1]，依据源码编译同时安装客户端与服务器端，详情见 http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

安装完成后查看安装位置以及客户端与服务器端的版本信息：

服务器启动失败问题：

1、官方文档给出的部分命令是错的，启动SPA防火墙需要使用命令 service fwknop-server start 或者 sudo fwknopd start 而不是 service fwknop start 。

2、配置错误，官方文档只给出access.conf配置规则，还需要修改fwknopd.conf配置文件(均位于 /etc/fwknop/ 目录下)

通过命令 grep fwknopd /var/log/syslog 打印信息如下：

fwknop是一项Single Packet Authorization(SPA，单包认证)技术，其保留了Port Knocking(敲门技术)的优点(在默认丢弃数据包过滤器后提供服务保护)，但与Port Knocking相比又有如下优点，详见 http://www.cipherdyne.org/fwknop/ ：

fwknop的单包授权消息格式[2]：为了让 fwknop SPA 客户端进行身份验证并允许应用后续授权标准，必须将几条信息安全地传送到SPA敲门服务器。fwknop 客户端在每个 SPA 敲门消息中传输以下内容，详见 http://www.cipherdyne.org/fwknop/docs/SPA.html ：

SPA包的详细内容详见 https://www.linuxjournal.com/article/9565

1、首先在客户端安装nmap端口扫描工具，用于测试后续的SPA服务器端的端口开放情况

2、客户端与服务器端分别运行ifconfig查看各自局域网ip，我的ip为： server:172.16.93.130, client:172.16.93.131 。在复现时分别用自己的局域网ip替换

3、客户端对服务器进行端口扫描

结果如下，发现没有端口开放：

4、服务器端安装openssh-server用于开放22端口进行测试

安装完毕后客户端再进行端口扫描，结果如下，发现22端口开放：

通过ssh进行测试：

5、根据官方 tutorial 中的Default-Drop firewall policy中进行iptables配置

其中ens33选择填入自己的网卡名称，客户端再进行nmap端口扫描，发现22端口被过滤：

同时使用ssh连接发现无法连接：

6、客户端生成秘钥(-a后为客户端ip，-D后面为服务器ip，-p后为服务器监听SPA包的端口，-P后为发送的SPA包的协议，一般采用UDP包)

生成的秘钥在当前用户的主目录下，使用命令查看：

同时在服务器端进行配置：

配置情况如下：

随后服务器启动fwknop并查看状态：

结果如下，同时客户端使用ssh尝试连接发现依旧timeout：

7、客户端发送敲门SPA包，并且服务器查看fwknop状态并打印信息：

对客户端发出的SPA敲门包抓包显示如下，其从客户端的40477端口发送至服务器的62201端口(fwknop默认敲门监听端口)

服务器端显示信息如下

发现其收到SPA敲门包并将为客户端(172.16.93.131)添加规则，此时客户端用nmap进行端口扫描，发现依旧被过滤。

1、客户端生成秘钥时不能使用sudo，否则生成的.fwknoprc将会在root目录下(/root/)

2、在客户端发送SPA敲门数据包后，使用nmap扫描会致使服务器关闭其权限，因此无法再直接使用ssh连接，需要重新再发送SPA敲门包后再直接使用ssh连接才能够连接服务器。

3、可能由于服务器端fwknop监听的端口被防火墙关闭而导致收不到敲门数据包，因此需要保证端口畅通，其中62201为fwknop监听SPA包的端口：

1、由于国内运营商多是动态分配ip的，因此每次敲门及ssh连接都需要确定自己的公网ip并且生成秘钥。

2、由于共享公网ip的情况，在自己主机敲开门之后，与主机在相同公网ip下的其他主机也可以进行ssh连接。虽然开门时间短，但是如果有黑客一直专门盯着，在检测到发出SPA包之后使用同一公网ip下的主机或是伪造ip进行攻击，则有可能突破。fwknop主要是防御大范围端口扫描乱扫的黑客。

[1] http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

[2] Rash M. Single packet authorization with fwknop[J]. login: The USENIX Magazine, 2006, 31(1): 63-69.

红帽认证工程师是业界公认的最权威的Linux认证之一。RHCE 是世界上第一个面向Linux 的认证考试，它不是一个普通的认证测试，和其他 *** 作系统认证考试相比，它没有笔试，全部是现场实际 *** 作，所以RHCE成了业界公认的最难的认证考试之一。【51CTO红帽认证送考量位居前列，优质红帽课程免费试学】

红帽认证是不可以跨级考试的，必须初级、中级、高级逐级来考。也就是说想要获得RHCE证书，必须要先通过RHCSA考试。

从事Linux运维考证毋庸置疑的选择就是红帽，因为红帽提供了Linux由浅入深完整学习路线的认证培训，也是全球范围内认可的Linux；其他职业如果想要转行从事Linux运维工作，也可以考个红帽认证作为入行敲门砖。

想学习的话可以咨询一下51CTO学堂，51CTO学堂课程内容详实，高清录播打基础，重难点和考点直播授课，配备51CTO研发教辅。在线题库，包括历年考试认证真题、模拟题，各大名企面试题、笔试题以及各技术领域能力自测题；每一道试题都配备有专业的答案解析，只要登录个人账号就能使用题库，明确知识难点。

红帽认证考试方式为全程上机实 *** ，也就意味着只有真正的掌握了这些技术才能通过。其中级认证RHCE（红帽认证工程师）已经成为跨入Linux行业的“敲门砖”； 而高级认证RHCA（红帽认证架构师）更是助你变身为企业架构师的“巨人肩膀”，目前国内拥有RHCA认证者不足600人。那么红帽认证有什么作用呢？下面是为大家整理的详细内容，一起来看看吧！

红帽认证的作用

一、90%的企业应用平台需要linux红帽

再高大上的云计算、大数据、物联网都需要好的运维作支撑。企业的应用90%是跑在Linux平台的。就连我们用的安卓手机，底层也是Linux平台架构。通信、金融、互联网、教育、电子商务、机械制造、军工航天等等，都离不开Linux平台。

二、linux红帽人才需求大

我国Linux市场以年均43.1%的复合增长率高速增长到2017年Linux市场超过2亿，人才需求超过120万。

三、linux红帽工程师薪资水平高

四、linux红帽认证工程师职位晋升快

Linux技术职位晋升块，3年左右就能升至管理岗位年薪25W起；5年以上达到架构师水平年薪突破40W。

红帽认证主要包括"红帽认证管理员(RHCSA)"、"红帽认证工程师(RHCE)"与"红帽认证架构师(RHCA)"。随着红帽公司在2014年6月10日发布新版红帽企业版系统（RHEL7）后当天即在红帽英文官网更新了其对RHCSA与RHCE培训政策的调整，考生只有先通过红帽RHCSA认证后才能考取红帽RHCE认证。

了解了以上的内容，如果是你，你会考红帽认证吗？

---