Linux

Let’s Encrypt简介 Let’s Encrypt 是 一个叫 ISRG （ Internet Security Research Group ，互联网安全研究小组）的组织推出的免费安全证书计划。参与这个计划的组织和公司可以说是互联网顶顶重要的先驱，除了前文提到的三个牛气哄哄的发起单位外，后来又有思科（全球网络设备制造商执牛耳者）、 Akamai 加入，甚至连 Linux 基金会也加入了合作，这些大牌组织的加入保证了这个项目的可信度和可持续性。 部署 HTTPS 网站的时候需要证书，证书由 CA 机构签发，大部分传统 CA 机构签发证书是需要收费的，这不利于推动 HTTPS 协议的使用。 ​ Let’s Encrypt 也是一个 CA 机构，但这个 CA 机构是免费的！！！也就是说签发证书不需要任何费用。 ​ Let’s Encrypt 由于是非盈利性的组织，需要控制开支，他们搞了一个非常有创意的事情，设计了一个 ACME 协议，目前该协议的版本是 v1。 ​ 那为什么要创建 ACME 协议呢，传统的 CA 机构是人工受理证书申请、证书更新、证书撤销，完全是手动处理的。而 ACME 协议规范化了证书申请、更新、撤销等流程，只要一个客户端实现了该协议的功能，通过客户端就可以向 Let’s Encrypt 申请证书，也就是说 Let’s Encrypt CA 完全是自动化操作的。 ​ 任何人都可以基于 ACME 协议实现一个客户端，官方推荐的客户端是 Certbot 。 Let’s Encrypt通配符证书 在没有出现通配符证书之前，Let’s Encrypt 支持两种证书。 1）单域名证书：证书仅仅包含一个主机。 2）SAN 证书：一张证书可以包括多个主机（Let’s Encrypt 限制是 20），也就是证书可以包含下列的主机：www.example.com、www.example.cn、blog.example.com 等等。 ...

什么是sudo sudo是用来执行需要提升权限的命令。 Sudo配置 1 # visudo sudo执行命令的流程 当用户执行sudo时，系统会主动寻找/etc/sudoers文件，判断该用户是否有执行sudo权限 确认用户具有可执行的权限后，让用户输入自己的密码确认 若密码输入成功，则开始执行sudo后续的命令 不需要密码的情况 root执行sudo时不需要输入密码（sudoers文件中有配置root ALL=(ALL)ALL这样一条规则） 要切换的身份与执行者的身份相同，不需要输入密码 /etc/sudoers文件设置为允许用户在不输入该用户密码的情况下使用所有命令 如设置允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令 %wheel ALL=(ALL) NOPASSWD:ALL /etc/sudoers文件解释 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 ## cat /etc/sudoers ## 下面是规则配置：什么用户在哪台服务器上可以执行哪些命令（sudoers文件可以在多个系统上共享） ## Syntax: ##语法 ## user MACHINE=COMMANDS ## 用户 登录的主机=（可以变换的身份） 可以执行的命令 ## ## The COMMANDS section may have other options added to it. ## 命令部分可以附带一些其它的选项 ## ## Allow root to run any commands anywhere ## 允许root用户执行任意路径下的任意命令 root ALL=(ALL) ALL ## Allows members of the 'sys' group to run networking, software, ## service management apps and more. # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS ## 允许sys中户组中的用户使用NETWORKING等所有别名中配置的命令 ## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL ## 允许wheel用户组中的用户执行所有命令 ## Same thing without a password ## 允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令 # %wheel ALL=(ALL) NOPASSWD: ALL ## Allows members of the users group to mount and unmount the ## cdrom as root ## 允许users用户组中的用户像root用户一样使用mount、unmount、chrom命令 # %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom ## Allows members of the users group to shutdown this system # %users localhost=/sbin/shutdown -h now ## 允许users用户组中的用户像root用户一样使用shutdown命令 sudo执行命令的流程 sudo会话 sudo默认在输入一次密码后15分钟内不会再次要求密码。15分钟后，你会再次被要求输入密码。 ...