我们一直积极地提供有关 Linux 技巧的系列文章，如果你错过了这个系列的最新文章，你或许可以去访问下面的链接。

• Linux 中 5 个有趣的命令行技巧

在这篇文章中，我们将分享一些有趣 Linux 技巧，内容是有关如何产生随机密码以及加密或解密这些经过加盐或没有加盐处理的密码。

安全是数字时代中的一个主要话题。在电脑，email，云端，手机，文档和其他的场合中，我们都会使用到密码。众所周知，选择密码的基本原则是 “易记，难猜”。考虑过使用基于机器自动生成的密码吗？相信我，Linux 非常擅长这方面的工作。

1. 使用命令 pwgen 来生成一个长度为 10 个字符的独特的随机密码。假如你还没有安装 pwgen，请使用 Apt 或 YUM 等包管理器来安装它。

$ pwgen 10 1

生成一个独特的随机密码

一口气生成若干组长度为 50 个字符的唯一的随机密码!

$ pwgen 50

生成多组随机密码

2. 你还可以使用 makepasswd 来每次生成一个给定长度的独特的随机密码。在你把玩 makepasswd 命令之前，请确保你已经安装了它。如若没有安装它，试试使用 Apt 或 YUM 包管理器来安装 makepasswd这个软件包。

生成一个长度为 10 个字符的随机密码。该命令产生的密码的长度默认为 10。

$ makepasswd 

使用 makepasswd 生成独特的密码

生成一个长度为 50 个字符的随机密码。

$ makepasswd  --char 50

生成长度为 50 的密码

生成 7 个长度为 20 个字符的随机密码。

$ makepasswd --char 20 --count 7

3. 使用带“盐”的 Crypt(注：这里应该指的是一个函数，可以参考这里 ) 来加密一个密码。提供手动或自动添加 “盐”。

对于那些不清楚 盐 的意义的人，这里的 “盐” 指的是一个随机数据，它作为密码生成函数的一个额外的输入， 目的是保护密码免受词典攻击。

在执行下面的操作前，请确保你已经安装了 mkpasswd。

下面的命令将带 “盐” 加密一个密码。“盐” 的值是随机自动生成的。所以每次你运行下面的命令时，都将产生不同的输出，因为它每次接受了随机取值的 “盐”。

$ mkpasswd tecmint

使用 Crypt 来加密密码

现在让我们来手动定义 “盐” 的值。每次它将产生相同的结果。请注意你可以输入任何你想输入的值来作为 “盐” 的值。

$ mkpasswd tecmint -s tt

带“盐”加密密码

另外， mkpasswd 还是交互式的，假如你在命令中没有提供密码，它将主动询问你来输入密码。

4. 使用 aes-256-cbc 加密算法并使用带“盐”的密码(如 “tecmint”) 加密一个字符串(如 “Tecmint-is-a-Linux-Community”)。

# echo Tecmint-is-a-Linux-Community | openssl enc -aes-256-cbc -a -salt -pass pass:tecmint

在 Linux 中加密一个字符串

在上面例子中， echo 命令的输出通过管道传递给了 openssl 命令，使得该输出通过加密编码方式(enc：Encoding with Cipher ) 所加密，这个过程中使用了 aes-256-cbc 加密算法，并附带了密码 (tecmint) 和 “盐” 。

5. 使用 openssl 命令的 -aes-256-cbc 解密选项来解密上面的字符串。

# echo U2FsdGVkX18Zgoc+dfAdpIK58JbcEYFdJBPMINU91DKPeVVrU2k9oXWsgpvpdO/Z | openssl enc -aes-256-cbc -a -d -salt -pass pass:tecmint

在 Linux 中解密字符串

现在就是这些内容了。

保持联系，保持连接，敬请关注。不要忘了在下面的评论中提供给我们您有价值的反馈。

via: http://www.tecmint.com/generate-encrypt-decrypt-random-passwords-in-linux/

作者：Avishek Kumar 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

假设你是hostA上的一个用户"aliceA"，想以用户“aliceB”的身份ssh到hostB上，但又不想输入密码。那么，你可以参考这篇教程实现ssh无密码登录。

首先，你需要以用户“aliceA”的身份登录到hostA上。

然后，使用ssh-keygen生成一对rsa公私钥，生成的密钥对会存放在~/.ssh目录下。

$ ssh-keygen -t rsa

接下来，使用下面的命令在目标主机hostB上的aliceB用户目录下创建~/.ssh目录。如果在aliceB@hostB上已经存在.ssh目录，这一步会被略过。

$ ssh aliceB@hostB mkdir -p .ssh

最后，将hostA上用户“aliceA”的公钥拷贝到aliceB@hostB上，来实现无密码ssh。

$ cat .ssh/id_rsa.pub | ssh aliceB@hostB 'cat >> .ssh/authorized_keys'

自此以后，从aliceA@hostA上ssh到aliceB@hostB上再也不需要输入密码。（LCTT 译注：上述的创建目录并复制的操作也可以通过一个 ssh-copy-id 命令一步完成：ssh-copy-id -i ~/.ssh/id_rsa.pub aliceB@hostB）

疑难解答

1. 即使在密钥认证生效后，你可能仍然需要输入SSH密码。如果遇到这种情况，请检查系统日志（如/var/log/secure）以查看是否出现下面的异常。

Authentication refused: bad ownership or modes for file /home/aliceB/.ssh/authorized\_keys

在这种情况下，密钥认证的失败是由于~/.ssh/authorized\_keys文件的权限或拥有者不正确。一般情况，如果这个文件对除了你之外的所有用户都可读，就会出现这个错误。用下面的方式改变文件的权限以修正错误。

$ chmod 700 ~/.ssh/authorized_keys 

via: http://xmodulo.com/how-to-enable-ssh-login-without.html

作者：Dan Nanni 译者：KayGuoWhu 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Vault是用来安全的获取秘密信息的工具，它可以保存密码、API密钥、证书等信息。Vault提供了一个统一的接口来访问秘密信息，其具有健壮的访问控制机制和丰富的事件日志。

对关键信息的授权访问是一个困难的问题，尤其是当有许多用户角色，并且用户请求不同的关键信息时，例如用不同权限登录数据库的登录配置，用于外部服务的API密钥，SOA通信的证书等。当保密信息由不同的平台进行管理，并使用一些自定义的配置时，情况变得更糟，因此，安全的存储、管理审计日志几乎是不可能的。但Vault为这种复杂情况提供了一个解决方案。

突出特点

数据加密：Vault能够在不存储数据的情况下对数据进行加密、解密。开发者们便可以存储加密后的数据而无需开发自己的加密技术，Vault还允许安全团队自定义安全参数。

安全密码存储：Vault在将秘密信息（API密钥、密码、证书）存储到持久化存储之前对数据进行加密。因此，如果有人偶尔拿到了存储的数据，这也没有任何意义，除非加密后的信息能被解密。

动态密码：Vault可以随时为AWS、SQL数据库等类似的系统产生密码。比如，如果应用需要访问AWS S3 桶，它向Vault请求AWS密钥对，Vault将给出带有租期的所需秘密信息。一旦租用期过期，这个秘密信息就不再存储。

租赁和更新：Vault给出的秘密信息带有租期，一旦租用期过期，它便立刻收回秘密信息，如果应用仍需要该秘密信息，则可以通过API更新租用期。

撤销：在租用期到期之前，Vault可以撤销一个秘密信息或者一个秘密信息树。

安装Vault

有两种方式来安装使用Vault。

1. 预编译的Vault二进制 能用于所有的Linux发行版，下载地址如下，下载之后，解压并将它放在系统PATH路径下，以方便调用。

• 下载预编译的二进制 Vault (32-bit)
• 下载预编译的二进制 Vault (64-bit)
• 下载预编译的二进制 Vault (ARM)

下载相应的预编译的Vault二进制版本。

解压下载到本地的二进制版本。

祝贺你！您现在可以使用Vault了。

2. 从源代码编译是另一种在系统中安装Vault的方式。在安装Vault之前需要安装GO和GIT。

在 Redhat系统中安装GO 使用下面的指令：

sudo yum install go

在 Debin系统中安装GO 使用下面的指令：

sudo apt-get install golang

或者

sudo add-apt-repository ppa:gophers/go

sudo apt-get update

sudo apt-get install golang-stable

在 Redhat系统中安装GIT 使用下面的命令：

sudo yum install git

在 Debian系统中安装GIT 使用下面的命令：

sudo apt-get install git

一旦GO和GIT都已被安装好，我们便可以开始从源码编译安装Vault。

将下列的Vault仓库拷贝至GOPATH

https://github.com/hashicorp/vault

测试下面的文件是否存在，如果它不存在，那么Vault没有被克隆到合适的路径。

$GOPATH/src/github.com/hashicorp/vault/main.go

执行下面的指令来编译Vault，并将二进制文件放到系统bin目录下。

make dev

一份Vault入门教程

我们已经编制了一份Vault的官方交互式教程，并带有它在SSH上的输出信息。

概述

这份教程包括下列步骤：

• 初始化并启封您的Vault
• 在Vault中对您的请求授权
• 读写秘密信息
• 密封您的Vault

初始化您的Vault

首先，我们需要为您初始化一个Vault的工作实例。在初始化过程中，您可以配置Vault的密封行为。简单起见，现在使用一个启封密钥来初始化Vault，命令如下：

vault init -key-shares=1 -key-threshold=1

您会注意到Vault在这里输出了几个密钥。不要清除您的终端，这些密钥在后面的步骤中会使用到。

启封您的Vault

当一个Vault服务器启动时，它是密封的状态。在这种状态下，Vault被配置为知道物理存储在哪里及如何存取它，但不知道如何对其进行解密。Vault使用加密密钥来加密数据。这个密钥由"主密钥"加密，主密钥不保存。解密主密钥需要入口密钥。在这个例子中，我们使用了一个入口密钥来解密这个主密钥。

vault unseal <key 1>

为您的请求授权

在执行任何操作之前，连接的客户端必须是被授权的。授权的过程是检验一个人或者机器是否如其所申明的那样具有正确的身份。这个身份用在向Vault发送请求时。为简单起见，我们将使用在步骤2中生成的root令牌，这个信息可以回滚终端屏幕看到。使用一个客户端令牌进行授权：

vault auth <root token>

读写保密信息

现在Vault已经被设置妥当，我们可以开始读写默认挂载的秘密后端里面的秘密信息了。写在Vault中的秘密信息首先被加密，然后被写入后端存储中。后端存储机制绝不会看到未加密的信息，并且也没有在Vault之外解密的需要。

vault write secret/hello value=world

当然，您接下来便可以读这个保密信息了：

vault read secret/hello

密封您的Vault

还有一个用I来密封Vault的API。它将丢掉现在的加密密钥并需要另一个启封过程来恢复它。密封仅需要一个拥有root权限的操作者。这是一种罕见的"打破玻璃过程"的典型部分。

这种方式中，如果检测到一个入侵，Vault数据将会立刻被锁住，以便最小化损失。如果不能访问到主密钥碎片的话，就不能再次获取数据。

vault seal

这便是入门教程的结尾。

总结

Vault是一个非常有用的应用，它提供了一个可靠且安全的存储关键信息的方式。另外，它在存储前加密关键信息、审计日志维护、以租期的方式获取秘密信息，且一旦租用期过期它将立刻收回秘密信息。Vault是平台无关的，并且可以免费下载和安装。要发掘Vault的更多信息，请访问其官方网站。

via: http://linoxide.com/how-tos/secure-secret-store-vault/

作者：Aun Raza 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

大家好，今天我来向大家介绍如何在 Ubuntu12.04 上设置 SSH 的无密码登录功能。仅在工作站上有正确的（公私）密钥对以供匹配时SSH服务端才会允许你登录，反之访问将不会被允许。

正常情况下，我们需要连上SSH的控制台输入用户名及其密码才行。如果两者全部正确，我们就可以访问，反之访问被服务端拒绝。不过相比而言还有一种比用密码更安全的登录方式，我们可以在登录SSH时通过加密密钥进行无密码登录。

如果你想启用这个安全的方式，我们只需简单的禁用密码登录并只允许加密密钥登录即可。使用这种方式时，客户端计算机上会产生一对私钥和公钥。接着客户端得把公钥上传到SSH服务端的authorized\_key文件中去。在授予访问前，服务器及客户端电脑会校验这个密钥对。如果服务器上的公钥与客服端提交的私钥匹配则授予访问权限，否则访问被拒绝。

这是认证到SSH服务器的非常安全的一种做法，如果你想为单一的SSH用户登录实现安全登录，这也是备受推崇的方式。这里快速的过一遍如何启用无密码登录SSH的配置过程。

1.安装Openssh服务端

首先，我们需要更新我们的本地库索引。所以如下所见，我们需要先输入“apt-get update”

$ sudo apt-get update

现在我们可以通过以下命令安装openssh-server：

$ sudo apt-get install openssh-server

2. 开启openssh服务

在OpenSSH已经成功安装在Ubuntu14.04操作系统上了之后，我们要启动OpenSSH的服务。以下命令让你启动/开启服务。

$ sudo service ssh start

或

$ sudo /etc/init.d/ssh start

3. 配置密钥对

在我们安装并启动了OpenSSH服务以后。现在终于到了要我们搞定公私钥对的时候了，在终端中运行以下命令：

$ ssh-keygen -t rsa

在运行完以上命令了以后，我们需要回答一系列的问题。首先选择保存密钥的路径，按回车将会选择默认路径即家目录的一个隐藏的.ssh文件夹。下一个提示是请输入口令提醒。我个人将此留空（直接回车）。之后密钥对就会创建，大功告成。

在密钥对生成以后，我们需要将客户端上的公钥复制到SSH服务端或者主机，来创建对客户端的信任关系。运行以下命令复制客户端的公钥到服务端。

$ ssh-copy-id user@ip_address

在公钥上传之后，我们现在可以禁用通过密码登陆SSH的方式了。为此，我们需要通过以下命令用文本编辑器打开/etc/ssh/ssh\_config。

$ sudo nano /etc/ssh/sshd_config

现在，我们需要按照下图所示去掉几行注释并进行一些赋值。

4. 重启SSH服务

最后，在我们配置完SSH服务端后，为了使改动生效我们需要重启SSH服务。在终端或控制台运行以下命令重启。

$ sudo service ssh restart

或

$ sudo /etc/init.d/ssh restart

现在，我们可以试试不用密码仅用密钥对的方式登录ssh服务端了。

总结

太好了！我们成功的配置了无密码登录SSH。使用加密密钥对进行SSH服务器认证是非常安全的一种做法，如果你想为SSH的单一用户登录实施安全的认证这也是备受推崇的方式。所以，如果你还有什么问题或建议，请在意见框中向我们反馈。很欣慰你能读完，希望你能喜欢加密的SSH安全登录 :-)

via: http://linoxide.com/ubuntu-how-to/setup-passwordless-ssh-logon-ubuntu-14-04/

作者：Arun Pyasi 译者：martin2011qi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

对于SSH服务的常见的攻击就是暴力破解攻击——远程攻击者通过不同的密码来无限次地进行登录尝试。当然SSH可以设置使用非密码验证验证方式来对抗这种攻击，例如公钥验证或者双重验证。将不同的验证方法的优劣处先放在一边，如果我们必须使用密码验证方式怎么办？你是如何保护你的 SSH 服务器免遭暴力破解攻击的呢？

fail2ban 是 Linux 上的一个著名的入侵保护的开源框架，它会监控多个系统的日志文件（例如：/var/log/auth.log 或者 /var/log/secure）并根据检测到的任何可疑的行为自动触发不同的防御动作。事实上，fail2ban 在防御对SSH服务器的暴力密码破解上非常有用。

在这篇指导教程中，我会演示如何安装并配置 fail2ban 来保护 SSH 服务器以避免来自远程IP地址的暴力攻击。

在linux上安装Fail2ban

为了在CentOS 或 RHEL上安装fail2ban,首先设置EPEL仓库，然后运行以下命令。

$ sudo yum install fail2ban

在Fedora上安装fail2ban，简单地运行以下命令：

$ sudo yum install fail2ban

在ubuntu，Debian 或 Linux Mint上安装fail2ban：

$ sudo apt-get install fail2ban

为SSH服务器配置Fail2ban

现在你已经准备好了通过配置 fail2ban 来加强你的SSH服务器。你需要编辑其配置文件 /etc/fail2ban/jail.conf。 在配置文件的“[DEFAULT]”区，你可以在此定义所有受监控的服务的默认参数，另外在特定服务的配置部分，你可以为每个服务（例如SSH，Apache等）设置特定的配置来覆盖默认的参数配置。

在针对服务的监狱区（在[DEFAULT]区后面的地方），你需要定义一个[ssh-iptables]区，这里用来定义SSH相关的监狱配置。真正的禁止IP地址的操作是通过iptables完成的。

下面是一个包含“ssh-iptables”监狱配置的/etc/fail2ban/jail.conf的文件样例。当然根据你的需要，你也可以指定其他的应用监狱。

$ sudo vi /etc/fail2ban/jail.local

[DEFAULT]
# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24

# 客户端主机被禁止的时长（秒）
bantime = 86400

# 客户端主机被禁止前允许失败的次数 
maxretry = 5

# 查找失败次数的时长（秒）
findtime = 600

mta = sendmail

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
# Debian 系的发行版 
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数 
maxretry = 3

根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问 SSH 服务。这个事件也会通过sendemail发送邮件通知。

一旦配置文件准备就绪，按照以下方式重启fail2ban服务。

在 Debian, Ubuntu 或 CentOS/RHEL 6:

$ sudo service fail2ban restart

在 Fedora 或 CentOS/RHEL 7:

$ sudo systemctl restart fail2ban

为了验证fail2ban成功运行，使用参数'ping'来运行fail2ban-client 命令。 如果fail2ban服务正常运行，你可以看到“pong（嘭）”作为响应。

$ sudo fail2ban-client ping
Server replied: pong

测试 fail2ban 保护SSH免遭暴力破解攻击

为了测试fail2ban是否能正常工作，尝试通过使用错误的密码来用SSH连接到服务器模拟一个暴力破解攻击。与此同时，监控 /var/log/fail2ban.log，该文件记录在fail2ban中发生的任何敏感事件。

$ sudo tail -f /var/log/fail2ban.log

根据上述的日志文件，Fail2ban通过检测IP地址的多次失败登录尝试，禁止了一个IP地址192.168.1.8。

检查fail2ban状态并解禁被锁住的IP地址

由于fail2ban的“ssh-iptables”监狱使用iptables来阻塞问题IP地址，你可以通过以下方式来检测当前iptables来验证禁止规则。

$ sudo iptables --list -n

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-SSH  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  192.168.1.8          0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

如果你想要从fail2ban中解锁某个IP地址，你可以使用iptables命令：

$ sudo iptables -D fail2ban-SSH -s 192.168.1.8 -j DROP

当然你可以使用上述的iptables命令手动地检验和管理fail2ban的IP阻塞列表，但实际上有一个适当的方法就是使用fail2ban-client命令行工具。这个命令不仅允许你对"ssh-iptables"监狱进行管理，同时也是一个标准的命令行接口，可以管理其他类型的fail2ban监狱。

为了检验fail2ban状态（会显示出当前活动的监狱列表）：

$ sudo fail2ban-client status

为了检验一个特定监狱的状态（例如ssh-iptables):

$ sudo fail2ban-client status ssh-iptables

上面的命令会显示出被禁止IP地址列表。

为了解锁特定的IP地址：

$ sudo fail2ban-client set ssh-iptables unbanip 192.168.1.8

注意，如果你停止了Fail2ban 服务，那么所有的IP地址都会被解锁。当你重启 Fail2ban，它会从/etc/log/secure(或 /var/log/auth.log)中找到异常的IP地址列表，如果这些异常地址的发生时间仍然在禁止时间内，那么Fail2ban会重新将这些IP地址禁止。

设置 Fail2ban 自动启动

一旦你成功地测试了fail2ban之后，最后一个步骤就是在你的服务器上让其在开机时自动启动。在基于Debian的发行版中，fail2ban已经默认让自动启动生效。在基于Red-Hat的发行版中，按照下面的方式让自动启动生效。

在 CentOS/RHEL 6中:

$ sudo chkconfig fail2ban on

在 Fedora 或 CentOS/RHEL 7:

$ sudo systemctl enable fail2ban

总结

在该教程中，我演示了如何安装并配置fail2ban来保护一个SSH服务器。当然fail2ban可以缓解暴力密码攻击，但是请注意，这并不能保护SSH服务器避免来自复杂的分布式暴力破解组织，这些攻击者通过使用成千上万个机器控制的IP地址来绕过fail2ban的防御机制。

via: http://xmodulo.com/how-to-protect-ssh-server-from-brute-force-attacks-using-fail2ban.html

作者：Dan Nanni 译者：theo-l 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

重置Centos 7 Root密码的方式和Centos 6完全不同。让我来展示一下到底如何操作。

1 - 在启动grub菜单，选择编辑选项启动

2 - 按键盘e键，来进入编辑界面

3 - 找到Linux 16的那一行，将ro改为rw init=/sysroot/bin/sh

4 - 现在按下 Control+x ，使用单用户模式启动

5 - 现在，可以使用下面的命令访问系统

chroot /sysroot

6 - 重置密码

passwd root

7 - 更新系统信息

touch /.autorelabel

8 - 退出chroot

exit

9 - 重启你的系统

reboot

就是这样！

via: http://www.unixmen.com/reset-root-password-centos-7/

作者：M.el Khamlichi 译者：su-kaiyao 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出