linuxsha256加密

❶ 什么是SHA256

SHA 家族
SHA (Secure Hash Algorithm，译作安全散列算法) 是美国国家安全局 (NSA) 设计，美国国家标准与技术研究院 (NIST) 发布的一系列密码散列函数。正式名称为 SHA 的家族第一个成员发布于 1993年。然而现在的人们给它取了一个非正式的名称 SHA-0 以避免与它的后继者混淆。两年之后， SHA-1，第一个 SHA 的后继者发布了。 另外还有四种变体，曾经发布以提升输出的范围和变更一些细微设计: SHA-224, SHA-256, SHA-384 和 SHA-512 (这些有时候也被称做 SHA-2)。
SHA-0 和 SHA-1
最初载明的算法于 1993年发布，称做安全散列标准 (Secure Hash Standard)，FIPS PUB 180。这个版本现在常被称为 "SHA-0"。它在发布之后很快就被 NSA 撤回，并且以 1995年发布的修订版本 FIPS PUB 180-1 (通常称为 "SHA-1") 取代。根据 NSA 的说法，它修正了一个在原始算法中会降低密码安全性的错误。然而 NSA 并没有提供任何进一步的解释或证明该错误已被修正。1998年，在一次对 SHA-0 的攻击中发现这次攻击并不能适用于 SHA-1 — 我们不知道这是否就是 NSA 所发现的错误，但这或许暗示我们这次修正已经提升了安全性。SHA-1 已经被公众密码社群做了非常严密的检验而还没发现到有不安全的地方，它现在被认为是安全的。
SHA-0 和 SHA-1 会从一个最大 2^64 位元的讯息中产生一串 160 位元的摘要然后以设计 MD4 及 MD5 讯息摘要算法的 MIT 教授 Ronald L. Rivest 类似的原理为基础来加密。
SHA-0 的密码分析
在 CRYPTO 98 上，两位法国研究者展示了一次对 SHA-0 的攻击 (Chabaud and Joux, 1998): 散列碰撞可以复杂到 2^61 时被发现；小于 2^80 是理想的相同大小散列函数。
2004年时，Biham 和 Chen 发现了 SHA-0 的近似碰撞 — 两个讯息可以散列出相同的数值；在这种情况之下，142 和 160 位元是一样的。他们也发现了 SHA-0 在 80 次之后减少到 62 位元的完整碰撞。
2004年8月12日，Joux, Carribault, Lemuet 和 Jalby 宣布了完整 SHA-0 算法的散列碰撞。这是归纳 Chabaud 和 Joux 的攻击所完成的结果。发现这个碰撞要复杂到 2^51， 并且用一台有 256 颗 Itanium2 处理器的超级电脑耗时大约 80,000 CPU 工作时 。
2004年8月17日，在 CRYPTO 2004 的 Rump 会议上，Wang, Feng, Lai, 和 Yu 宣布了攻击 MD5、SHA-0 和其他散列函数的初步结果。他们对 SHA-0 攻击复杂到 2^40，这意味着他们攻击的成果比 Joux 还有其他人所做的更好。该次 Rump 会议的简短摘要可以在 这里找到，而他们在 sci.crypt 的讨论，例如： 这些结果建议计划使用 SHA-1 作为新的密码系统的人需要重新考虑。
更长的变种
NIST 发布了三个额外的 SHA 变体，每个都有更长的讯息摘要。以它们的摘要长度 (以位元计算) 加在原名后面来命名："SHA-256", "SHA-384" 和 "SHA-512"。它们发布于 2001年的 FIPS PUB 180-2 草稿中，随即通过审查和评论。包含 SHA-1 的 FIPS PUB 180-2，于 2002年以官方标准发布。这些新的散列函数并没有接受像 SHA-1 一样的公众密码社群做详细的检验，所以它们的密码安全性还不被大家广泛的信任。2004年2月，发布了一次 FIPS PUB 180-2 的变更通知，加入了一个额外的变种 "SHA-224"，定义了符合双金钥 3DES 所需的金钥长度。
Gilbert 和 Handschuh (2003) 研究了新的变种并且没有发现弱点。
SHAd
SHAd 函数是一个简单的相同 SHA 函数的重述：
SHAd-256(m)=SHA-256(SHA-256(m))。它会克服有关延伸长度攻击的问题。
应用
SHA-1, SHA-224, SHA-256, SHA-384 和 SHA-512 都被需要安全散列算法的美国联邦政府所应用，他们也使用其他的密码算法和协定来保护敏感的未保密资料。FIPS PUB 180-1 也鼓励私人或商业组织使用 SHA-1 加密。Fritz-chip 将很可能使用 SHA-1 散列函数来实现个人电脑上的数位版权管理。
首先推动安全散列算法出版的是已合并的数位签章标准。
SHA 散列函数已被做为 SHACAL 分组密码算法的基础。
SHA-1 的描述
以下是 SHA-1 算法的伪代码：
(Initialize variables:)
a = h0 = 0x67452301
b = h1 = 0xEFCDAB89
c = h2 = 0x98BADCFE
d = h3 = 0x10325476
e = h4 = 0xC3D2E1F0
(Pre-processing:)
paddedmessage = (message) append 1
while length(paddedmessage) mod 512 > 448:
paddedmessage = paddedmessage append 0
paddedmessage = paddedmessage append (length(message) in 64-bit format)
(Process the message in successive 512-bit chunks:)
while 512-bit chunk(s) remain(s):
break the current chunk into sixteen 32-bit words w(i), 0 <= i <= 15
(Extend the sixteen 32-bit words into eighty 32-bit words:)
for i from 16 to 79:
w(i) = (w(i-3) xor w(i-8) xor w(i-14) xor w(i-16)) leftrotate 1
(Main loop:)
for i from 0 to 79:
temp = (a leftrotate 5) + f(b,c,d) + e + k + w(i) (note: all addition is mod 2^32)
where:
(0 <= i <= 19): f(b,c,d) = (b and c) or ((not b) and d), k = 0x5A827999
(20 <= i <= 39): f(b,c,d) = (b xor c xor d), k = 0x6ED9EBA1
(40 <= i <= 59): f(b,c,d) = (b and c) or (b and d) or (c and d), k = 0x8F1BBCDC
(60 <= i <= 79): f(b,c,d) = (b xor c xor d), k = 0xCA62C1D6
e = d
d = c
c = b leftrotate 30
b = a
a = temp
h0 = h0 + a
h1 = h1 + b
h2 = h2 + c
h3 = h3 + d
h4 = h4 + e
digest = hash = h0 append h1 append h2 append h3 append h4
注意：FIPS PUB 180-1 展示的构想，用以下的公式替代可以增进效能：
(0 <= i <= 19): f(b,c,d) = (d xor (b and (c xor d)))
(40 <= i <= 59): f(b,c,d) = (b and c) or (d and (b or c)))

❷ 登录加密

使用sha256加密方式

原理：前端获取随机值，进行多次加密后下发给后端比对后端同样方式加密渗森含出来的密码的结果是否一致。

Sha256加密的出来的数据是不可逆的没有解密。

import Cryptojs from "crypto-js";//使用crypto-js的moles

//对密码进行春燃加密

 let encryptedPwd = encodePwd(password, {

            challenge: Challenge,//先获取的随机值

            userName:username,

            salt: '',

            iIterate: 20  //丛笑加密20次

          }, false);

 //密码加密

  encodePwd(szPwd, encodeParam, bIrreversible) {

    let encodeKey = '';

      //secretKey is challenge

      encodeKey = this.sha256(szPwd) + challenge;

      for (let i = 1; i < encodeParam.iIterate; i++) {

       encodeKey = this.sha256(encodeKey);

    return encodeKey; //返回加密结果

  }

❸ 在linux系统中如何设置强密码(安全性高)

印象里 /etc/shadow 这里的密码可以从 md5sum 方式替换为 sha256sum 。这样可以提高安全度，防止 md5sum 被截取后被人碰撞专出来一个可属用的密码。

之后就是强密码的问题了，这个不是系统如何设置的问题，而是用户如何设置。
至少 12 字节，管理员权限必须 16 字节以上，最好是用大小写混合+数字符号。最好随机生成。

另外，还有就是其他方面的安全设置。
比如禁止远程 telnet 访问，只能用 ssh 访问，之后 ssh 绑定证书而不是用密码登录，并且禁止 root 远程登录。
剩下的就是其他各种服务的安全设置了，比如 apache 设置禁止代码访问 web 目录之外的数据，ftp 也进行权限控制，数据库限制访问来源 IP 。

这都是细节的东西，强密码根本不是提高安全的做法，因为他是计算机系统安全所必须的要求。

❹ 如何在 Linux 中产生，加密或解密随机密码

openssl是可以加解密，但是你的要求是创建用户并输入密码，据我所知，linux的passwd命令好象只能用键盘交互，饥笑没法用烂胡含脚本预设的。有个可用的法是：用useradd命令创建做和完用户后，再用脚本修改/etc/shadow(这个文件是真正存放用户密码的地方)里的密码段，这个密码段是用hash算法加密的，好象是sha256还是sha512之类的吧，例如'000000'，加密后是$6$7z4nJy/C69Wj$A65GjO61mBtErCbGNxIt1IUumPs/YUmeu1Zb7jElxNU/5TNmIDNx//etc/shadow的权限只有root用户可以修改，因此这个脚本要由root来执行。

❺ Linux命令

快照功能：记录当前的硬盘的状态。刚建快照时快照占用内存为0，标记了当前硬盘的存储状态。当虚拟机对快照标记的内容改写时，会将改写的内容存储进快照，与未改写的部分整合得到完整的快照。当快照标记的部分被完全改写，那么快照存储空间完整记录了当时拍摄时的内存状态。

参数形式

第一种：参数用一横的说明后面的参数是字符形式。

第二种：参数用两横的说明后面的参数是单词形式。

第三种：参数前有横的老链顷是 System V风格。

第四种：参数前没有横的是 BSD风格。

cat、more、less、head、tail命令的比较：

cat命令可以一次显示整个文件，如果文件比较大，使用不是很方便；

more命令可以让屏幕在显示满一屏幕时暂停，按空格往前翻页，按b往后翻页。

less命令也可以分页显示文件，和more命令的区别就在于： 支持上下键卷动屏幕、查找；不需要在一开始就读取整个文件，打开大文件时比more、vim更快。

head命令用于查看文件的前n行。

tail命令用于查看文件的后n行，加上-f命令，查看在线日志非常方便，可以打印最新增加的日志。

一般模式：

编辑模式：

命令模式：

编码

多行操作(列编辑模式)
插入：ctrl+v进入列编辑模式，上下移动光标选择需要插入的位置，然后输入大写I，输入需要文本，最后按esc键退出，就会发现文本会在选择的多行中插入。
删除：ctrl+v进入列编辑模式，上下移动光标选中需要删除的部分，然后按d，就会删除选中的内容。

①head：显示文件头部内容

②tail：输出文件尾部内容

注意：用vim和vi修改内容会删除源文件并生成新文件，所以tail -f会失效。需要用到

追加和覆盖语句（>或>>），才能被tail -f监视到。

一般用于查看小文件

查看压缩文件中的文本内容

例：

①more：文件内容分屏查看器

②less：分屏显示文件内容，效率比more高

1、简单读取

运行脚本如下

测试结果为：

2、-p 参数，允许在 read 命令行中直接指定一个提示。

运行脚本如下

测试结果为：

echo [选项] [输出内容] （输出内容到控制台）

输出给定文本的sha256加密后的内容

①显示当前时间信息

②显示当前时间年月日

③显示当侍陆前时间年月日时分秒

④显示昨天

⑤显示明天时间

⑥显示上个月时间

需要注意的是取下个月的命令存在bug，执行如下命令会得到21-10，但是正常应该得到21-09，需要注意
date -d "2021-08-31 +1 month" +%y-%m

⑦修改系统时间

⑧获取当前时间戳
获取秒时间戳： date +%s
获唤袜取毫秒时间戳：$[ (date +%s%N) /1000000]

查看日历

（1）查看当前月的日历

（2）查看2017年的日历

例：

对比gzip/gunzip，zip/unzip可以压缩文件和目录且保留源文件。

①zip：压缩

②unzip：解压缩

只能压缩文件不能压缩目录，不保留原来的文件。

gzip 文件 （只能将文件压缩为*.gz文件）

gunzip 文件.gz （解压缩文件命令）

例： crontab -e

（1）进入crontab编辑界面。会打开vim编辑你的工作。

（2）每隔1分钟，向/root/longma.txt文件中添加一个11的数字

*/1 * * * * /bin/echo ”11” >> /root/longma.txt

（3）可以用tail -f 目标文件来实施监控追加的内容

查看日志
可以用tail -f /var/log/cron.log观察

Cron表达式见文章： https://www.jianshu.com/writer#/notebooks/46619194/notes/75177408

ls [选项] [目录或是文件]

cd [参数]

例： cd -P $(dirname $p1) ； pwd 先跳转到文件的所在目录，再打印$p1文件的实际路径

概述

①cp（）：只能在本机中复制

②scp（secure ）：可以复制文件给远程主机

scp -r test.sh hxr@hadoop102:/root

③rsync（remote sync）：功能与scp相同，但是不会改文件属性

rsync -av test.sh test.sh hxr@hadoop102:/root

④nc（netcat）：监听端口，可以实现机器之间传输文件。
nc -lk 7777 (-l表示listen，-k表示keep)

强制覆盖不提示的方法：cp

例：scp -r test.sh hxr@bigdata1:/root

例：rsync -av test.sh hxr@bigdata1:/root

例：

nc -lp 10000 > nc_test.txt

nc -w 1 hadoop102 < nc_test.txt

远程登录时默认使用的私钥为~/.ssh/id_rsa

生成密钥对

将公钥发送到本机

将密钥发送到需要登录到本机的服务器上

修改密钥的权限

远程登陆

如果有多个节点需要远程登陆，可以在.ssh下创建config并输入

再次登陆

①正向代理：

②反向代理：
所谓“反向代理”就是让远端启动端口，把远端端口数据转发到本地。

HostA 将自己可以访问的 HostB:PortB 暴露给外网服务器 HostC:PortC，在 HostA 上运行：

那么链接 HostC:PortC 就相当于链接 HostB:PortB。
使用时需修改 HostC 的 /etc/ssh/sshd_config 的一条配置如下，不然启动的进程监听的ip地址为127.0.0.1，即只有本机可以访问该端口。

相当于内网穿透，比如 HostA 和 HostB 是同一个内网下的两台可以互相访问的机器，HostC是外网跳板机，HostC不能访问 HostA，但是 HostA 可以访问 HostC。
那么通过在内网 HostA 上运行 ssh -R 告诉 HostC，创建 PortC 端口监听，把该端口所有数据转发给我（HostA），我会再转发给同一个内网下的 HostB:PortB。
同内网下的 HostA/HostB 也可以是同一台机器，换句话说就是 内网 HostA 把自己可以访问的端口暴露给了外网 HostC。

例： 比如在我的内网机192.168.32.244上有一个RabbitMQ的客户端，端口号为15672。现在我希望在外网上访问固定ip的云服务器chenjie.asia的6009端口，通过跳板机192.168.32.243来转发请求到192.168.32.244:15672，从而实现在外网访问内网服务的功能，即内网穿透。
①在192.168.32.244上启动RabbitMQ服务

②将chenjie.asia云服务器的私钥复制到跳板机192.168.32.243的~/.ssh下，并重命名为id_rsa。通过如下命令看是否可以远程登陆到云服务，可以登陆则进行下一步。

③修改chenjie.asia服务器的ssh配置文件 /etc/ssh/sshd_config ，允许其他节点访问

然后重启sshd服务

④在跳板机192.168.32.243启动ssh反向代理

这个进程在关闭session时会停止，可以添加启动参数 -CPfN

例：

以 root 身份执行的程序有了所有特权，这会带来安全风险。Kernel 从 2.2 版本开始，提供了 Capabilities 功能，它把特权划分成不同单元，可以只授权程序所需的权限，而非所有特权。

例如：linux不允许非root账号只用1024以下的端口，使用root启动命令nginx，会导致nginx权限过高太危险。所以用setcap命令

sudo setcap cap_net_bind_service=+eip /bigdata/nginx/sbin/nginx

正确的关机流程为 ：sync > shutdown > reboot > halt

（1）sync （功能描述：将数据由内存同步到硬盘中）

（2）halt （功能描述：关闭系统，等同于shutdown -h now 和 poweroff）

（3）reboot （功能描述：就是重启，等同于 shutdown -r now）

（4）shutdown [选项] [时间]

安装
yum install -y telnet-server telnet

ls -i 显示文件的节点号
find -inum 节点号 -delete 删除指定的节点即可删除对应的文件

启动一个服务： systemctl start postfix.service
关闭一个服务： systemctl stop postfix.service
重启一个服务： systemctl restart postfix.service
显示一个服务的状态： systemctl status postfix.service

在开机时启用一个服务： systemctl enable postfix.service
在开机时禁用一个服务： systemctl disable postfix.service
注：在enable的时候会打印出来该启动文件的位置

列出所有已经安装的服务及状态：
systemctl list-units
systemctl list-unit-files
查看服务列表状态:
systemctl list-units --type=service

查看服务是否开机启动： systemctl is-enabled postfix.service
查看已启动的服务列表： systemctl list-unit-files | grep enabled
查看启动失败的服务列表： systemctl --failed

查看服务日志： journalctl -u postfix -n 10 -f

命令类似systemctl，用于操作native service。

添加脚本为服务(需要指定启动级别和优先级)： chkconfig --add [脚本]
删除服务： chkconfig --del [脚本]
单独查看某一服务是否开机启动的命令 ： chkconfig --list [服务名]
单独开启某一服务的命令 ： chkconfig [服务名] on
单独关闭某一服务的命令： chkconfig [服务名] off
查看某一服务的状态： /etc/intd.d/[服务名] status

启用服务就是在当前"runlevel"的配置文件目录 /etc/systemd/system/multi-user.target.wants 里，建立 /usr/lib/systemd/system 里面对应服务配置文件的软链接；禁用服务就是删除此软链接，添加服务就是添加软连接。

su 用户名称 （切换用户，只能获得用户的执行权限，不能获得环境变量）

su - 用户名称 （切换到用户并获得该用户的环境变量及执行权限）

echo $PATH 打印环境变量

设置普通用户具有root权限

修改 /etc/sudoers 文件，找到下面一行(91行)，在root下面添加一行，如下 所示：

或者配置成采用sudo命令时，不需要输入密码

修改完毕，现在可以用hxr 帐号登录，然后用命令 sudo ，即可获得root权限进行操作。

以azkaban用户执行引号中的命令

gpasswd -d [username] [groupname] 将用户从组中删除
gpasswd -a [username] [groupname] 将用户加入到组中

用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对 /etc/group文件的更新。

0首位表示类型 - 代表文件 d 代表目录 l 链接文档(link file)

三种特殊权限suid、sgid、sticky

例子:

变更文件权限方式一

例：chmod u-x,o+x houge.txt

变更文件权限方式二

例：chmod -R 777 /mnt/ 修改整个文件夹的文件权限

在linux中创建文件或者目录会有一个默认权限的，这个默认权限是由umask决定的（默认为0022）。umask设置的是权限的“补码”，而我们常用chmod设置的是文件权限码。一般在/etc/profile 、~/.bashprofile 或者 ~/.profile中设置umask值。

umask计算
如root用户的默认umask为0022(第一个0 代表特殊权限位，这里先不考虑)，创建的文件默认权限是644(即默认666掩上umask的022)，创建的目录是755(即默认777掩上umask的022)。

对于root用户的umask=022这个来说，777权限二进制码就是（111）（111）（111），022权限二进制码为（000）（010）（010）。

上面就是一个umask的正常计算过程，但是这样实在是太麻烦了。我们使用如下的简单的方法快速计算。

上面的这个方法计算是非常方便的， 为何得到奇数要+1呢？

文件的最大权限是666，都是偶数，你得到奇数，说明你的umask有奇数啊，读为4，写为2，都是偶数，说明你有执行权限的。

就按照上面的umask=023为例，在计算其他用户权限的时候6-3=3 ，6是读写，3是写和执行，其实应该是读写权限减去读权限的得到写权限的，相当于我们多减去了一个执行权限。所以结果加1。

umask修改

如果想单独修改某个文件夹的新建文件的权限，可以使用setfacl命令。

例：递归改变文件所有者和所有组 chown -R hxr:hxr /mnt

例：

❻ SHA256 加密后能不能解密

SHA是散列算法，不是加密算法，不存在解密的问题。

原因：

对数据解密破解就是找到任意一个源数据，能够生成相同的目标数据。

SHA256基本上是不可破解的，即找不到（或概率极小）“碰撞”结果。

网站的解密规则：

网站从浏览器发送过来的信息当中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。

(6)linuxsha256加密扩展阅读：

加密解密过程中，浏览器对网站的验证：

1、验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。

2、如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。

3、使用约定好的HASH算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。

❼ 有谁知道LINUX保存密码的shadow文件是用什么加密

md5sum
他就是一种哈希（Hash 到音译）到散列、杂凑算法。因为 MD5 已经被有效碰撞，所以有的系统内已容经改成了 sha 系列（好像是 sha256sum ）。

这种算法都是一种不可逆的算法，他是根据算法，计算出给出数据的“特征”。这种特征不可以逆运算，因为他会丢失数据信息，但不同的数据会有不同的“特征”结果，不同数据出现相同“特征”结果的概率决定这个算法的安全。

最简单的杂凑算法应该就是 CRC 了，他就是一个位的异或计算。