服务器公钥私钥总结

在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。

公钥用来给数据加密，用公钥加密的数据只能使用私钥解密

用来解密公钥加密的数据。

对需要传输的文本，做一个HASH计算，一般采用SHA1，SHA2来获得

使用私钥对需要传输的文本的摘要进行加密，得到的密文即被称为该次传输过程的签名。

数据接收端，拿到传输文本，但是需要确认该文本是否就是发送发出的内容，中途是否曾经被篡改。因此拿自己持有的公钥对签名进行解密（密钥对中的一种密钥加密的数据必定能使用另一种密钥解密。），得到了文本的摘要，然后使用与发送方同样的HASH算法计算摘要值，再与解密得到的摘要做对比，发现二者完全一致，则说明文本没有被篡改过。

是将数据资料加密，使得非法用户即使取得加密过的资料，也无法获取正确的资料内容，所以数据加密可以保护数据，防止监听攻击。其重点在于数据的安全性。

公钥登录是为了解决每次登录服务器都要输入密码的问题，流行使用RSA加密方案，主要流程包含：

1、客户端生成RSA公钥和私钥

2、客户端将自己的公钥存放到服务器

3、客户端请求连接服务器，服务器将一个随机字符串加密后发送给客户端

4、客户端根据自己的私钥解密这个随机字符串之后再发送给服务器

5、服务器接受到字符串之后用公钥解密，如果正确就让客户端登录，否则拒绝。这样就不用使用密码了。

进入用户目录下ssh目录：
id_rsa：私钥文件
id_rsapub：公钥文件
authorized_keys: 保存其他公钥的的文件
known_hosts: 已经建立过连接的服务器信息，可以清空。

1执行命令：

此时会重新生成id_rsa私钥文件和id_rsapub公钥文件
用户将公钥发送给其他服务器，其他服务器将接受的公钥保存在authorized_keys里面。持有私钥的用户就可以登录服务器（authorized_keys存放自己的公钥，用户便可以使用私钥从其他的地方登录服务器）。
2将公钥导入到vps

3修改SSHD的配置文件/etc/ssh/sshd_config

4重启SSH后进行测试

购买云服务器后，如果您想在苹果手机上搭建网络，可以按照以下步骤进行：
1 登录您的云服务器管理控制台，创建一个新的虚拟机实例，并选择适合的 *** 作系统。
2 在虚拟机实例中安装和配置所需的网络服务软件，例如Web服务器、FTP服务器等。
3 配置虚拟机实例的网络设置，包括IP地址、子网掩码、网关等。
4 在云服务器管理控制台中打开相应的端口，以便外部设备可以访问您的网络服务。
5 在苹果手机上下载并安装相应的网络客户端软件，例如FTP客户端、SSH客户端等。
6 在网络客户端软件中输入您的云服务器IP地址和端口号，以便连接到您的网络服务。
7 输入您的用户名和密码，以便登录到您的云服务器，并进行相应的 *** 作。
请注意，搭建网络服务需要一定的技术和经验，建议您在进行 *** 作前先了解相关知识和技能，并遵守相关法律法规和网络安全要求。同时，云服务器的安全设置和维护也非常重要，务必保护好您的服务器和数据。

第1类：ARP欺骗攻击

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

ARP攻击的局限性

ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行，无法对外网（互联网、非本区域内的局域网）进行攻击。

2

第2类：CC攻击

相对来说，这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数，当被访问网站超出IIS 连接数时，网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS 连接数超出限制，当CPU 资源或者带宽资源耗尽，那么网站也就被攻击垮了。对于达到百兆的攻击，防火墙就相当吃力，有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上，运营商一般都会在上层路由封这个被攻击的IP。

针对CC攻击，一般的租用有防CC攻击软件的空间、VPS或服务器就可以了，或者租用章鱼主机，这种机器对CC攻击防御效果更好。

3

第3类：DDOS流量攻击

就是DDOS攻击，这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包，占用其带宽。对于流量攻击，单纯地加防火墙没用，必须要有足够的带宽和防火墙配合起来才能防御

怎么去防御服务器被攻击呢？

用户购买高防IP，把域名解析到高防IP上(web业务只要把域名指向高防IP 即可。非web业务，把业务IP换成高防IP即可)同时在高防上设置转发规则;所有公网流量都会走高防机房，通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP，同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。

2

因而通常高防服务器都是针对ip来进行防御和管理，在租用服务器后，服务商会提供一个高防ip给用户，如果该ip出现异常流量时，高防机房中的硬件防火墙，牵引系统等会对流量进行智能识别，对恶意流量进行过滤，保证正常流量能够对服务器发出请求并得到正常的处理。

当然由于业务的不同，不同的高防IP所受到的保护流量范围也不一样，如果攻击流量过大，超过高防IP的承受范围时，为了保护机房的安全性，会暂时对该IP进行屏蔽。这时可能会造成网络不能正常访问。

3

高防IP包含哪些？

高防IP可以防御的有包括但不限于以下类型： SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻击

具体 *** 作如下：
1、点击右下角网络图标，右键“打开网络和共享中心”；
2、点击“本地连接”、点击“属性”、双击“internetTCPip4”；
3、把“自动获得IP地址”改成“使用下面IP地址”。最后在下面设置对的ip、子网掩码、默认网关、首选DNS服务器。点击“确认”，就设置好了。

TLS其实是SSL，可能更正式的说法已经不用SSL了。TLS是一套基于非对称加密算法的安全传输协议，更严格来说，TLS先是通过非对称加密方式交换对称加密秘钥，然后采用对称加密算法进行安全传输。

非对称加密是这样的一把锁，有两把钥匙，任意一把钥匙可以把锁锁上，只有另一把钥匙才能将锁打开。这两把钥匙是成对的，可以互相解密。其中一把是公开的公钥，另一把是服务器持有的私钥。

任何人都可以用公钥加密一段消息发送给服务器，做到安全发送。另一方面，服务器可以用私钥加密一段消息，将消息明文和密文发送给接收者，以此证明自己的真实身份，这叫做签名。当然，现实中，是对消息的摘要进行签名加密，因为摘要比较小。
TLS的第一步，就是让发送者持有服务器的公钥。通常获得服务器公钥的方式，都是向服务器进行询问，然后由服务器明文发送过来的。为了保证这一步的安全性，确保明文发送过来的公钥没有被串改，我们又发明了证书。

证书由服务器名称信息和服务器公钥组成，然后加上证书签发机构CA和签发机构对前面信息的签名。改用证书机制后，服务器以明文发送自己的证书信息，使用者用CA的公钥验证证书签名，核对相关的服务器信息，然后就可以信任服务器的公钥了。

至于CA公钥的传递方式，一般是内置的或者通过实体进行传递。
一般服务器是不限制使用者访问的，所以服务器配置了证书和私钥，让发送者能够安全的从第一步开始建立加密通信机制。即使使用者不验证服务器证书，TLS仍旧是以加密方式进行，虽然安全度不是最高，但是屏蔽掉无聊的阿猫阿狗访问已经足够了。

更进一步，服务器可以配置双向认证，配置CA证书并要求认证使用者的证书。那么使用者在访问前就要配置由CA签发的个人证书和私钥，在第一步开始时把自己的证书和随机签名发过去让服务器进行认证。

使用双向认证的时候，通信的安全性已经足够高了：消息是加密的，并且不太容易在某个环节被串改，而使用者必须经过服务器用自己的CA签发授权证书后才能访问服务。
TLS的运用其实应该非常广，只要不是内网服务，而是向不安全的互联网公开的服务，并且在通信上没有使用任何加密手段，也没有特别有效的客户鉴权，都应该使用TLS。

比如有时候因为某种原因，不得不向互联网暴露mysql，redis或者其他开源软件的服务端口，这种大作死的行为，软件自带的脆弱的客户鉴权机制就跟杂草一样一踩就倒，已经是业界人尽皆知的情形。

如果能为这些开放的服务端口加上TLS双向认证通信，基本能把侵害排除99%了吧。那如何给这些服务增加TLS安全通信呢？

首先， 把公开的服务改成内网服务 。

第二， 在服务器和客户端之间配置TLS tunnel ，通过tunnel转发客户端和服务器之间流量。有很多TLS tunnel客户端可以使用，这种方式也不会对原系统造成任何改动，所谓各司其职。

---