1. ホーム
  2. Qt

Linuxセキュリティの知識と導入(説明例)

2022-02-22 15:55:33
セキュリティ



<スパン セキュリティに関する一般的な用語や設定について。




   1,ハードウェアセキュリティ(サーバールームのセキュリティ、サーバーロック、サーバーバイオスパスワード、grubパスワードなど、ルクスハードディスクやパーティションの暗号化、キーボードのアルファベット乱れなど)。



   2,パスワードセキュリティ(パスワードの複雑さ、パスワードの定期的な変更、パスワードポリシーなど)。



   3、ユーザーセキュリティやセキュリティ操作の管理(アクセス制御、アクセス時間制御、ロック画面 - 通常のユーザーctrl + alt + l、ルートユーザーは達成するために同様のxlockソフトウェアをインストールすることができます。rhel6で3段階禁止 ctrl+alt+delete シャットダウン - etc/init/control-alt-delete.conf の control-alt-delete 行の先頭をコメントアウト; rhel7,centos7 -alt-del.target ファイル内の /usr/lib/systemd/system/ctrl をコメントアウトするか削除)



   4,サービスのセキュリティ(一般的に各サービスはセキュリティを強化するために独自のメソッドやパラメータを持っており、一部はxinetd; tcp_wrapper; xinetdといったものの下でセキュリティを強化するためにドラッグして管理することができます)



   5、認証セキュリティ(NISは、LDAP、ケルベロスは、ユーザーの集中管理を実現することができますが、また、いくつかのソフトウェアの認証データは、データベース(メールシステムのユーザーは、データベースまたはLDAPこの方法を持っているなど)に配置され、PAM移植型認証モジュール; )。



   6,ネットワークまたはネットワーク通信のセキュリティ(トンネルまたはvpn、iptablesまたはfirewalld、gpgトランスポート暗号化、ssl/tls、sshログインセキュリティ)。



   7,ソフトウェアセキュリティ(脆弱性、バグ、ソフトウェアアップデート、シグネチャを検出した場合のソフトウェアインストール)



   8,システム監査、ログ統計、ログ管理



   9,パーミッション強化(chmod 600 /etc/passwdなどの重要なシステムファイル、ファイルacl、selinux、sudoなど)。



   10,侵入検知(侵入後の完全性チェック、データ侵入解析)。



   11、会社の内部のセキュリティ(職業倫理を持つ正直な従業員を見つけるために、運用規範の開発、従業員の幸福に上司の処理賃金@_@)。







docs.redhat.com



公式サイトのドキュメントを参照する。

                Red_Hat_Enterprise_Linux-6-Security_Guide-ja-US.pdf

                Red_Hat_Enterprise_Linux-7-Security_Guide-zh-CN.pdf







======================================================================



暗号化する。暗号化には、一般的に次の3つのタイプがあります。



ハードディスクパーティションの暗号化 cryptsetup luks (linux unify key setup )



ファイル暗号化 PGP (Pretty Good Privacy) gpg (GNU Privacy Guard)



ネットワーク通信の暗号化 SSL/TLSトンネル VPN(仮想プライベートネットワーク)







LUKS(Linux Unified Key Setup-on-disk-format)は、Linuxのハードディスク暗号化の標準である。



ディスク上の標準フォーマットを提供することで、ディストリビューション間の互換性を容易にするだけでなく、複数のユーザーパスワードを安全に管理することができます。



暗号化されたボリュームは、その中のファイルシステムをマウントする前にまず復号化する必要があります。







パーティションや論理ボリュームを直接暗号化することができる







# rpm -qf `which cryptsetup` - パッケージがインストールされているかどうか確認するため。



cryptsetup-1.7.2-1.el7.x86_64







       cryptsetup - 用の暗号化ボリュームをセットアップします。



       dm-crypt (LUKS拡張を含む)



======================================================================



<スパン 実験:ディスクの暗号化




-- 仮想マシン上で新しいディスク(1GサイズでOK)を追加し、/dev/vdb1に分割し、フォーマットせずにテストしています。



1. 暗号化する。



[root@localhost ~]# cryptsetup luksFormat /dev/vdb1



警告!



========



これにより、/dev/vdb1上のデータは取り消し不能に上書きされます。



本当にいいんですか?(大文字のYESを入力)。YES -- 大文字のYESに



LUKSパスフレーズを入力します。



パスフレーズの検証: ---2つのパスワードは同じで、centos7のバージョンでは、パスワードが単純すぎず、ある程度複雑であることが要求されます。







2. マッピング



[root@localhost ~]# cryptsetup luksOpen /dev/vdb1 secretdisk    -- この暗号化されたディスクのマッピングに、カスタム名 secretdisk をつけたものがこちらです。



dev/vdb1 のパスフレーズを入力: --前のステップで設定したパスワードを入力する



[root@localhost ~]# <スパン ls /dev/mapper/secretdisk     -- を実行すると、次のようなデバイスファイルが生成されます。



/dev/mapper/secretdisk







3. 3. 暗号化されたパーティションをフォーマットします。



[root@localhost ~]# mkfs.xfs /dev/mapper/secretdisk                       --フォーマット済み、初回に必要、後で再訪問する場合は不要







4. マウント



[root@localhost ~]# マウント /dev/mapper/secretdisk /mnt/                  -- マウントされると、読み取りと書き込みの操作ができるようになります



[root@localhost /]# umount /mnt/                                                       --使用中でなければ最初にマウントする



[root@localhost /]# cryptsetup luksClose /dev/mapper/secretdisk    --もう一度閉じると、/dev/mapper には secretdisk デバイスファイルは存在しません。



[root@localhost /]# マウント /dev/vdb1 /mnt/                                        -- 元のデバイスをマウントしようとしても、うまくいきません。



mount: 不明なファイルシステムタイプ 'crypto_LUKS' です。



[root@localhost ~]# cryptsetup luksOpen /dev/vdb1 abc                   -- 再び使用する場合は、このコマンドを使用して、前回とは異なる名前で別のマッピングを開きます。もちろん、パスワードの入力は引き続き必要です。



[root@localhost ~]# ls /dev/mapper/abc                                             -- デバイスを手に入れたら、マウントして中の暗号化されたデータを取得することができます。







--つまり、root権限でアクセスできたとしても、パスワードがなければ中のデータを取り出すことはできません。もちろん、/dev/vdb1をフォーマットすることはできますが、データは確実に消えています。







=============================================================



<スパン ファイルの暗号化



    ファイルの暗号化は、対称型暗号と非対称型暗号に分けられる



対称的な暗号化



       --同じ鍵で暗号化し、同じ鍵で復号化するため、ネットワーク通信には不向きです。ローカルでは鍵で暗号化し、相手には鍵でデータを渡すため、途中で傍受されることになります。







                取扱店







                プラットフォーム







            ユーザー(チャン・サン)バンク







                         ネットワーク



            張三 ----------------------gt; 銀行



        1 鍵暗号化ファイル        



        2 ネットワークパスファイルおよびキー                     



        3 ファイルも鍵もネットワーク上で傍受される可能性あり







非対称暗号化。



     --鍵のペアを使用します(公開鍵と秘密鍵)、データを送信するために相手、相手に公開鍵を与え、暗号化するためにこの公開鍵を使用します。途中、傍受された場合でも、秘密鍵なしで、解読することはできません。







                         ネットワーク



            張三 ----------------------gt; 銀行



        1 銀行は、一組のキーにお金を生成または使用する



        2 銀行は公開鍵を公共ネットワークに公開するが、秘密鍵は自分用に保持する



        3 銀行の公開鍵でデータを暗号化する        



        4 ネットワークは、暗号化されたデータを銀行に送信することができます                 



        5 傍受されても、復号化するための秘密鍵が存在しない







概要:1.対称暗号は暗号化と復号に同じ鍵を使うので高速だが、鍵をネットワークで伝送する必要があるのでセキュリティは高くない、2.非対称暗号は公開鍵と秘密鍵のペアを使うのでセキュリティは高いが、暗号化と復号が遅い、3.解決策は対称暗号の鍵を非対称暗号の公開鍵で暗号化して送り出せばいいこと。受信方式は秘密鍵を使って復号化し、対称型暗号の鍵を得て、二重反転で対称型暗号を使った通信ができる。







PGP (Pretty Good Privacy)



     有料の暗号化ソフトです



gpg (GNUプライバシーガード)



     gpg (GNU Privacy Guard) は、非対称暗号のためのフリーソフトウェアです。非対称暗号化とは、簡単に言うと、ファイルを公開鍵で暗号化し、秘密鍵で復号化することです。暗号化されたファイルを誰かに送りたい場合、まず相手の公開鍵を入手し、公開鍵で暗号化して渡すと、相手は自分の秘密鍵でファイルを復号して読むことができるようになります。







=============================================================



例1、gpgソフトウェアを使用したローカルまたはリモートファイルの対称暗号化および復号化







1. 暗号化されたファイル    



[root@li ~]# gpg2 -c test --c パラメータは対称型暗号化です。



パスワード



パスワードを再入力してください。



-- 暗号化後、test.gpg ファイルが生成され、元のファイルを削除することができます。



# ファイル test.gpg --- 表示タイプ



test.gpg: データ







# cat test.gpg --gibberish



# vim test.gpg --gibberish



# strings test.gpg -- これも見えません。







復号化されたファイル



[root@li ~]# gpg2 test.gpg







--ディレクトリの暗号化を行う場合、まずディレクトリをパックし、その後暗号化を行う。







-上記の暗号化ファイルをリモートマシンにscpすると、リモートマシン(どのマシンでも)はパスワードさえあれば復号できます(暗号化ファイルを鍵でパッケージして渡すのと同じことです)。



----------------------------------------------------



例2、通信する2者間の鍵ペアを用いた非対称暗号化・復号化







        模擬ユーザー Zhang San 模擬銀行



        172.16.25.2 --------- --- 172.16.25.3







ステップ1:



自分のパソコンの172.16.25.3のバンクで公開鍵と秘密鍵を調べる



# gpg2 --list-keys または gpg2 -k --ローカルマシンの公開鍵を問い合わせる(今は空っぽ)。



# gpg2 --list-secret-keys あるいは gpg2 -K --ローカルマシンの秘密鍵を問い合わせる。







バンク172.16.25.3で非対称暗号化用の鍵を生成する。



# gpg2 --gen-key --鍵のペアを生成する



どのような鍵が必要かを選択してください。



   (1)RSA、RSA(デフォルト)



   (2) DSAおよびElgamal



   (3) DSA (サインのみ)



   (4) RSA (符号のみ)



選択されましたか?1 -- アルゴリズムの選択 デフォルト1



RSA 鍵は 1024~4096 ビットの長さを使用できます。



鍵のサイズを教えてください。(2048) -- 鍵長が長いほど安全ですが、暗号化・復号化にも時間がかかります。



要求された鍵のサイズは2048ビット



鍵の有効期限をご指定ください。



         0 = キーに有効期限はありません



      <n> = キーの有効期限はn日間です。



      <n>w = キーの有効期限はn週間です。



      <n>m = キーの有効期限はnヶ月です。



      <n>y = キーの有効期限はn年です。



鍵の有効期限は?(0) 1 -- キーの有効期限、ここでは後のテストを容易にするために1日を選択します。



キーの有効期限:2015年10月9日(金)11:35:11 AM CST



これは正しいですか?(y/N) y







GnuPGでは、鍵を識別するためにユーザーIDを構築する必要があります。







本名: haha



名前は5文字以上であること



本名:ははへー



電子メールアドレス:[email protected]



コメント @_@



このUSER-IDを選択しました。



    "ハハッヘ(@_@) <[email protected]>"







変更 (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O







-- ここでパスワードを2回入力し、キーペアを生成します。これは、(キーボードを叩く、マウスを動かすなどして乱数を追加する)ことを要求することができます。







gpg: trustdbのチェック



gpg: 3つのマージンが必要, 1つの完全なマージンが必要, PGP信頼モデル



gpg: 深さ: 0 有効です。1 署名済み。0 信頼度: 0-, 0q, 0n, 0m, 0f, 1u



gpg: 次のtrustdbのチェックは2015-10-09に予定されています。



pub 2048R/001CB3D4 2015-10-08 [有効期限:2015-10-09]です。



      キーフィンガープリント = 4237 29F0 FE94 C99C 57ED E0A9 7510 51DF 001C B3D4



uid hahahehe (@_@) <[email protected]>



サブ 2048R/7F9ADD4B 2015-10-08 [有効期限:2015-10-09]の場合







-- 生成に失敗した場合、乱数不足のエラーが報告されるため、これを回避する。



--別の端末を開き、以下のコマンドでシステム乱数を表示します。



# cat /proc/sys/kernel/random/entropy_avail



-- ランダムの数が足りないので、別の端末を開いて、キーペアを生成しながら、以下のコマンドで生成することができます。



# rngd -r /dev/urandom -o /dev/random -f



# gpg2 -k --generated, 小文字の k は公開鍵のリストです。



# gpg2 -K ---大文字の k が秘密鍵を示します。







ステップ2:



銀行172.16.25.3で、他のユーザーZhang Sanに公開鍵を渡します(ここではテストなので、単にscpを使用します)。



# gpg2 --export > li.asc --export public key, must end with .asc



# scp li.asc 172.16.25.2:/root/ --copy to another simulated user Zhang San's computer







銀行から渡された公開鍵をユーザーZhang San 172.16.25.2にインポートします。



# gpg2 --import /root/li.asc -- まず時刻が同じであることを確認し、その後インポートします。







# gpg2 -k



/root/.gnupg/pubring.gpg



------------------------



pub 2048R/001CB3D4 2015-10-08 [有効期限:2015-10-09]です。



uid hahahehe (@_@) <[email protected]>。



サブ 2048R/7F9ADD4B 2015-10-08 [有効期限:2015-10-09]の場合







                                          CA







    ユーザー(ICBC公開鍵) ICBC        







                              ICBCのフィッシング







<スパン テストI



ユーザーZhang San 172.16.25.2上のテストファイルを暗号化する。



# gpg2 -e -r hahahehe /test.txt --/test.txt は用意しておいたテストファイルです。



    -- あなたのマシンは、他人の公開鍵を複数登録できるため、-rパラメータは公開鍵の名前を表します。







暗号化されたファイルを銀行172.16.25.3へ送り返す。



# scp /test.txt.gpg 172.16.25.3:/test/







その後、銀行に行き、秘密鍵を使って復号化すると、無事に復号化することができます



# cd /test  



# gpg2 -d test.txt.gpg







<スパン テスト2



秘密鍵を持たない第三者(ユーザーLi4など)に暗号化ファイルを渡し、その第三者も以下のコマンドで復号化すると、秘密鍵がないことが直接報告され、復号化に失敗します。



# gpg2 -d /root/test.txt.gpg



gpg: RSA キー、ID E2F4585F で暗号化されています。



gpg: 復号に失敗しました。秘密鍵がありません







<スパン テスト3



ユーザー張さんの172.16.25.2マシンの時刻をdate-sで期限切れに変更し、暗号化すると、そのまま公開鍵が期限切れで使用できないことが報告されます



# gpg2 -e -r hahahehe /test2.txt



gpg: hahahehe: スキップされました。使用できない公開鍵



gpgです。/test2.txt: 暗号化に失敗しました。使用できない公開鍵







<スパン テストIV



銀行 172.16.25.3 で公開鍵を復元するための証明書を生成する。



# gpg2 -o cancelhahahehe.asc --gen-revoke hahahehe







再生する公開鍵当事者に渡す(ユーザー張さん)



# scp cancelhahahehe.asc 172.16.25.2:/root/







公開鍵当事者(ユーザーZhang San)は、この回復証明書をインポートして、元のuidでこの公開鍵を無効にするhahahehe



# gpg2 --import /root/cancelhahahehe.asc







公開鍵の当事者(ユーザー張さん)は、利用できなくなった無効な公開鍵で暗号化されている



# gpg2 -e -r hahahehe /test2.txt     



gpg: hahahehe: スキップされました。使用できない公開鍵



gpgです。/test2.txt: 暗号化に失敗しました。使用できない公開鍵







      --まとめ:上記は主に対称・非対称の暗号化の原理を説明し、暗号化と復号化のプロセスを示したものです。実際には、ネットワークアプリケーションでは、手動で行う必要はありません。TLS/SSLプロトコルの使用は、ネットワーク上での非対称暗号化の典型的なアプリケーションと言えます。







鍵の削除:秘密鍵を先に削除し、次に公開鍵を削除する。



# gpg2 --delete-secret-keys ハハハハ



# gpg2 --delete-keys hahahehe







<スパン =============================================================



gpgデジタル署名



ファイルやrpmパッケージに署名することで、データの整合性を保護し、そのファイルが正式に署名されていることを示します。



対応する署名のないファイルやrpmパッケージをダウンロードした場合、そのファイルは疑わしいものであり、悪意を持って変更された可能性があることを意味します。



多くのソフトウェアパッケージの公式サイトでは、パッケージのダウンロードに加えて、署名ファイルや公開鍵ファイルを同梱しています。







質問1:電子署名とは何ですか?



電子メッセージにスタンプを押すのと同じことである







質問2:電子署名の用途は何ですか?



電子情報の真正性を証明するため(例えば、有名なソフトウェアの作者である私がソフトウェアを公開し、それが私のソースコードのソフトウェアであり、他者によって改ざんされていないことを証明するため)。







        著名な作家、ベンダー ユーザー



                         (ダウンロード、パッケージ、公開鍵、署名の3つのファイルが必要です。)



                             製品偽造防止専門家による製品への署名







                        リアルペインティング唐招提寺







                            偽造防止エキスパート(CA認定)







                        フェイクペイント唐紡







質問3:あるソフトウェアをダウンロードしたいのですが、正しい公式サイトを見つけてダウンロードすれば、署名の検証は必要ないのでしょうか?



公式サイトもハッキングされる可能性があるので、署名の確認が必要な場合があります。 







質問4:署名ファイルは公式サイトからもダウンロードしなければならないので、公式サイトがハッキングされると署名ファイルも置き換わってしまうので、どうやって再確認すればいいのでしょうか?



公式の署名ファイルにCA認証がある場合、置き換えられた署名ファイルを使って検証すると、署名ファイルが信頼できない旨のメッセージが表示されます。



<スパン =============================================================



<スパン シグネチャー実験I。



# vim /etc/yum.repos.d/rhel-source.repo



[サーバー]です。



name=server



baseurl=file:///yum/Server



enabled=1



gpgcheck=1 -- この0を1に変更します。







# yum install authd -y --ここで適当にyumでパッケージをインストールすると、以下のエラーが表示されます。



警告: rpmts_HdrFromFdno: ヘッダ V3 RSA/SHA256 署名、キー ID fd431d51: NOKEY



authd-1.4.3-31.el6_4.x86_64.rpm の公開鍵はインストールされていません。







解決策1.



# rpm --import /yum/RPM-GPG-KEY-redhat-release --isoイメージからキーファイルをインポートする。







解決策2.



# vim /etc/yum.repos.d/rhel-source.repo



[サーバー]です。



name=server



baseurl=file:///yum/Server



enabled=1



gpgcheck=1



gpgkey=file:///yum/RPM-GPG-KEY-redhat-release -- ここで gpgkey ファイルのパスを指定します。



<スパン =============================================================



<スパン シグネチャー・エクスペリメントII。



上記のデモは、redhatに付属するrpmパッケージの場合です。redhat以外のパッケージをダウンロードする場合は、パッケージに加え、これらのソフトウェアの公式サイトからgpg署名ファイルと公開鍵ファイルをダウンロードすることができます



# -- これはmediawiki公式からダウンロードしたパッケージとそれに対応する署名と鍵のファイルです。



mediawiki-1.25.2.tar.gz mediawiki-1.25.2.tar.gz.sig mediawiki_pubkey.txt

# gpg2 --verify mediawiki-1.25.2.tar.gz.sig メディアウィキ-1.25.2.タール.gz

gpg: RSA キー ID 23107F8A を使用して署名が行われました Tue 11 Aug 2015 05:27:49 AM CST

gpg: 署名を確認できません。公開鍵がありません



-- 署名は検証されますが、エラーになります。Can't check signature: No public key







# gpg2 --import mediawiki_pubkey.txt --import mediawikiの公開鍵







# gpg2 --verify mediawiki-1.25.2.tar.gz.sig メディアウィキ-1.25.2.タール.gz



gpg: RSA キー ID 23107F8A を使用して署名が行われました Tue 11 Aug 2015 05:27:49 AM CST



gpg: "Chad Horohoe <[email protected]>" からの良い署名です。



gpg: 別名 "keybase.io/demon <[email protected]>"



gpg: 警告: この鍵は信頼できる署名で認証されていません!



gpg: その署名が所有者のものであることを示すものがありません。



主キーのフィンガープリント 41b2 abe8 17ad d3e5 2bda 946f 72bc 1c5d 2310 7f8a



good signature from というフレーズが表示されたら、そのパッケージには完全な署名があることを意味し、問題はありません。



======================================================



SSL/TLS



ssl セキュア・ソケット・レイヤー セキュア・ソケット・レイヤー



TLSトランスファー層セキュアトランスポートレイヤーセキュリティ







http+ssl/tls=https



ssl暗号化を行うメリット:安全な送信



ssl暗号化のデメリット:パフォーマンスに影響する、証明書のメンテナンスにコストがかかる







https = http + ssl (443番ポート)



<スパン =============================================================



<スパン 実験です。



<スパン

1, ssl パッケージのインストール



# yum install httpd httpd-devel openssl* mod_ssl -y







# ls /etc/httpd/conf.d/ssl.conf --インストールに成功すると、ssl の http サポートのためのサブ設定ファイルが生成されます。



/etc/httpd/conf.d/ssl.conf



# ls /etc/httpd/modules/mod_ssl.so - ssl をサポートするモジュールもあるはずです。



/etc/httpd/modules/mod_ssl.so







2, rpm バージョンの ssl を使用して証明書と鍵を作成します。



# cd /etc/pki/tls/certs/







# make httpd.crt --cert name は好きなように書ける、拡張子は crt を使う(なくても良い)。



umask 77 ;



        /usr/bin/openssl genrsa -des3 1024 > httpd.key



RSA秘密鍵の生成、1024ビット長モジュラス



.................... ++++++



......................... ++++++



eは65537(0x10001)です。



パスフレーズを入力します。



検証中 - パスフレーズの入力: ---2つのパスワード、自分で設定、後で役に立つ







        /usr/bin/openssl req -utf8 -new -key httpd.key -x509 -days 365 -out httpd.crt -set_serial 0



httpd.keyのパスフレーズを入力: --パスワードの入力







国名(2文字コード) [GB]:cn



州または省名(フルネーム) [バークシャー]:広東省



地域名(例:市) [ニューベリー]:シンセン



組織名(例:会社) [マイカンパニーリミテッド]:haha



組織単位名(例:セクション)[]:it



コモンネーム(例:自分の名前、またはサーバーのホスト名) []:li.cluster.com



電子メールアドレス []:[email protected]







3,httpdの設定ファイルをsslに対応するようにコンパイルします。



# vim /etc/httpd/conf.d/ssl.conf



100 SSLCertificateFile /etc/pki/tls/certs/httpd.crt - 公開鍵である証明書、ウェブに配布される



107 SSLCertificateKeyFile /etc/pki/tls/certs/httpd.key -- 秘密鍵、自分用に保管する。







4,apacheを再起動する



# systemctl restart httpd - サービスカードを再起動する場合は、ホスト名をバインドして pkill httpd してから再度起動します。



vm4.cluster.com:443 (RSA)のSSLパスフレーズを入力します : ******   



vm4.cluster.com:443 (RSA)のSSLパスフレーズを入力します。****** -- 証明書を作成するために使用したパスワードを入力します。







# netstat -ntlup |grep httpd



tcp 0 0 :::80 :::* LISTEN 5821/httpd          



tcp 0 0 :::443 :::* LISTEN 5821/httpd







5,テスト



別のマシンでFirefoxを起動する



以下のURLからアクセスし、証明書をダウンロードし、確認することができます。



https://serverIP/    







===============================================================







nginx+ssl







ソースコンパイルバージョンの場合、SSL をサポートするために nginx を --with-http_ssl_module コンパイルパラメータでコンパイルする必要があります。







以下は、centos 7.3でrpm版を使用した場合の方法です。



# cd /etc/pki/tls/certs/



# make nginx.crt -- 証明書を作成し、nginx.crtとnginx.keyを取得します。







# yum install nginx*







# vim /etc/nginx/nginx.conf -- server { } の設定段落に、以下の3行を追加します。







    リッスン 443 ssl;







        ssl_certificate /etc/pki/tls/certs/nginx.crt。



        ssl_certificate_key /etc/pki/tls/certs/nginx.key。







その後、nginx を再起動すれば完了です。



# systemctl httpd を停止します。



# systemctl start nginx -- エラーで起動します。







解決策



# cd /etc/pki/tls/certs/



# cp nginx.key nginx.key.bak



# openssl rsa -in nginx.key.bak -out nginx.key







# systemctl start nginx -- 再度起動 ok







Question:例えば、www.baidu.com会自动转成https://www.baidu.com と入力した場合。



これは、リライトルールで実現できます。







===================================================================================



https







        ファーウェイ本社 ファーウェイ・アウトソーシング・カンパニー



            ftp+ssl (自己署名)  







smtp+ssl=smtps 465



pop3+ssl=pop3s 995







ftp+ssl=ftps



samba+ssl=smbs



tomcat+ssl=https  



dns+ssl -- いいえ



nfs+ssl -- いいえ



rsync+ssl -- いいえ







要約すると、sslの一般的なアプリケーションは主にhttpsであり、smtpsやftpsも使用されています。







======================================================================