安全
1,硬件安全(机房安全,服务器上锁,服务器bios密码,grub密码等,luks硬盘或分区加密,键盘字母顺序打乱等)
2,密码安全(密码复杂度,定期更改密码,密码策略等)
3,用户安全或安全操作管理(访问控制,访问时间控制,锁屏-普通用户ctrl+alt+l;root用户可以安装类似xlock软件来实现.rhel7,centos7默认就可以锁屏了.rhel6里要禁止在3级别ctrl+alt+delete关机-把/etc/init/control-alt-delete.conf里的start on control-alt-delete这句给注释掉;rhel7,centos7里注释或删除/usr/lib/systemd/system/ctrl-alt-del.target文件)
4,服务安全(每个服务一般都有自己的加强安全的方法或参数,还有些可以拖管到类似xinetd下加强安全等;tcp_wrapper;xinetd)
5,验证安全(nis,ldap,kerberos可以实现用户集中化管理,还有些软件的验证数据是放在数据库里的(如邮件系统的用户就有数据库或ldap这种方式);pam可植入式验证模块;)
6,网络或网络通讯安全(tunnel或vpn;iptables或firewalld;gpg传输加密;ssl/tls;ssh登录安全)
7,软件安全(漏洞,bug,软件更新,软件安装时检测签名)
8,系统审计,日志统计,日志管理
9,权限加强(把一些重要的系统文件降权如:chmod 600 /etc/passwd等;文件acl;selinux;sudo等)
10,入侵检测(入侵后完全性检查,数据入侵分析)
11,公司内部安全(找老实有职业操守的员工,制定操作规范,老板加工资给员工幸福感@_@)
docs.redhat.com
参考文档:Red_Hat_Enterprise_Linux-6-Security_Guide-en-US.pdf
Red_Hat_Enterprise_Linux-7-Security_Guide-zh-CN.pdf
==========================================================================================================
加密
硬盘分区加密 cryptsetup luks (linux unify key setup )
文件加密 PGP(Pretty Good Privacy) gpg (GNU Privacy Guard)
网络通讯加密 SSL/TLS tunnel VPN(virtual private network)
(本文介绍硬盘和文件)
LUKS(Linux Unified Key Setup-on-disk-format)是为Linux硬盘加密标准。
通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。
必须首先对加密的卷进行解密,才能挂载其中的文件系统
可以直接对分区或者逻辑卷来进行加密
# rpm -qf `which cryptsetup`
cryptsetup-1.7.2-1.el7.x86_64
cryptsetup - setup cryptographic volumes for
dm-crypt (including LUKS extension)
--下面我在虚拟机上测试,新加一个盘(大小1G就ok了),分成/dev/vdb1,不格式化
[root@localhost ~]# cryptsetup luksFormat /dev/vdb1
WARNING!
========
This will overwrite data on /dev/vdb1 irrevocably.
Are you sure? (Type uppercase yes): YES --要大写的YES
Enter LUKS passphrase:
Verify passphrase: --两次密码一致,并且在centos7里的版本要求密码不能太简单,有一定复杂度
[root@localhost ~]# cryptsetup luksOpen /dev/vdb1 secretdisk --这里是把这个加密磁盘做一个映射,后面的secretdisk这个名字自定义
Enter passphrase for /dev/vdb1: --输入上一步设定的密码
[root@localhost ~]# ls /dev/mapper/secretdisk --就会产生这个设备文件
/dev/mapper/secretdisk
[root@localhost ~]# mkfs.xfs /dev/mapper/secretdisk --格式化,第一次需要,后面再次访问就不用了
[root@localhost ~]# mount /dev/mapper/secretdisk /mnt/ --挂载后,就可以进行读写操作了
[root@localhost /]# umount /mnt/ --如果不使用的话,先umount掉,
[root@localhost /]# cryptsetup luksClose /dev/mapper/secretdisk --再close掉,那么/dev/mapper就没有secretdisk这个设备文件了
[root@localhost /]# mount /dev/vdb1 /mnt/ --想对原设备进行挂载也是没有用的
mount: unknown filesystem type 'crypto_LUKS'
[root@localhost ~]# cryptsetup luksOpen /dev/vdb1 abc --如果想要再次使用,就用这个命令再次open一个映射,名字可以不和上次的一样;当然还是需要输入你的密码
[root@localhost ~]# ls /dev/mapper/abc --就有这个设备了,挂载就可以得到里面的加密数据了
--也就是说,你就算得到了root权限;没有密码,是没有办法得到里面的数据的;当然你可以格式化/dev/vdb1,但数据肯定就都没了
=============================================================
文件加密
对称加密
--用同一个密钥进行加密,也要使用这个密钥去解密;所以不适合网络传输的加密;因为你在本地用密钥加密了,传数据给另一方还需要连密钥也传给他;所以会在中途被截
商家
平台
用户(张三) 银行
网络
张三 ----------------------> 银行
1 密钥加密文件
2 网络传文件和密钥
3 文件和密钥都可能在网络会被截取
非对称加密
--使用一对密钥(公钥和私钥),把公钥给对方,对方要给你传数据,使用这个公钥加密;中途就算被截,没有私钥是解密不了;传过来后,使用你的私钥来解密;所以适合网络传输
网络
张三 ----------------------> 银行
1 银行产生或者花钱买一对密钥
2 银行把公钥发布到公网,但私钥自己保留
3 用银行公钥加密数据
4 网络传加密数据给银行就可以
5 就算被截取,没有私钥,无法解密
PGP(Pretty Good Privacy)
gpg (GNU Privacy Guard)
例一,本机或远程文件的对称加密与解密
加密文件:
[root@li ~]# gpg2 -c test --c参数是对称加密
密码:
重输入密码:
--加密后,产生test.gpg文件,就可以把原文件删除了;rm test -rf
# file test.gpg --查看类型
test.gpg: data
# cat test.gpg --乱码
# vim test.gpg --乱码
# strings test.gpg --也看不到
解密文件:
[root@li ~]# gpg2 test.gpg
--对目录的做加密,先把目录打包,然后再做加密
--上面的加密文件scp传到远程机器,远程机器(任何机器)只要有密码,就可以解密(相当于是把加密文件和密钥一起打包传过去了)
----------------------------------------------------
例二,
通信双方使用密钥对做非对称加密和解密
模拟用户张三 模拟银行
172.16.25.2 ------------ 172.16.25.3
第一步:
在银行172.16.25.3上查询自己电脑上的公钥和私钥
# gpg2 --list-keys 或 gpg2 -k --查询本机的公钥,现在为空
# gpg2 --list-secret-keys 或 gpg2 -K --查询本机的私钥,现在为空
在银行172.16.25.3生成非对称加密的密钥
# gpg2 --gen-key --产生一对密钥
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection? 1 --算法选择默认的1
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) --密钥长度,越长越安全,但加密和解密消耗的资源和时间也较长
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 1 --密钥过期时间,我这里选择1天是为了方便后面测试
Key expires at Fri 09 Oct 2015 11:35:11 AM CST
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: haha
Name must be at least 5 characters long
Real name: hahahehe
Email address: hahahehe@126.com(可以随便填)
Comment: @_@
You selected this USER-ID:
"hahahehe (@_@) <hahahehe@126.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
--在这里输入两次密码,然后产生密钥对,可以需要你去(敲键盘,移动鼠标等去增加随机数)
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2015-10-09
pub 2048R/001CB3D4 2015-10-08 [expires: 2015-10-09]
Key fingerprint = 4237 29F0 FE94 C99C 57ED E0A9 7510 51DF 001C B3D4
uid hahahehe (@_@) <hahahehe@126.com>
sub 2048R/7F9ADD4B 2015-10-08 [expires: 2015-10-09]
--如果不能生成成功,报随机数不够的错误;解决方法:
--打开另外一个终端,并使用下面的命令查看系统随机数
# cat /proc/sys/kernel/random/entropy_avail
--随机数不够,可以在生成这对密钥时,再开一个终端用下面的命令生成一下
# rngd -r /dev/urandom -o /dev/random -f
# gpg2 -k --生成后,小写k列出公钥
# gpg2 -K --大写k列出私钥
第二步:
在银行172.16.25.3将公钥传到对方用户张三(这里我们是测试,所以用scp就可以了)
# gpg2 --export > li.asc --导出公钥,结尾必须为.asc
# scp li.asc 172.16.25.2:/root/ --拷到另一台模拟用户张三的电脑
在用户张三172.16.25.2上导入银行传过来的公钥
# gpg2 --import /root/li.asc --先时间同步一下,保证时间一致,再导入
# gpg2 -k
/root/.gnupg/pubring.gpg
------------------------
pub 2048R/001CB3D4 2015-10-08 [expires: 2015-10-09]
uid hahahehe (@_@) <hahahehe@126.com>
sub 2048R/7F9ADD4B 2015-10-08 [expires: 2015-10-09]
CA
用户(工商银行公钥) 工商银行
钓鱼工商银行
测试一:
在用户张三172.16.25.2上把一个测试文件进行加密
# gpg2 -e -r hahahehe /test.txt --/test.txt是你准备好的一个测试文件
-- -r参数代表公钥的名字,因为你机器可以注册别人的多个公钥
把加密的文件传回给银行172.16.25.3
# scp /test.txt.gpg 172.16.25.3:/test/
然后去银行使用自己的私钥去解密,可以解密成功
# cd /test
# gpg2 -d test.txt.gpg
测试二:
如果你把加密的文件传给没有私钥的第三个人(比如用户李四),那么他也用下面的命令去解密,会直接报没有私钥,解密失败
# gpg2 -d /root/test.txt.gpg
gpg: encrypted with RSA key, ID E2F4585F
gpg: decryption failed: No secret key
测试三
把用户张三172.16.25.2的机器时间使用date-s 改成过期后的时间,再加密,就直接报公钥过期,不可用
# gpg2 -e -r hahahehe /test2.txt
gpg: hahahehe: skipped: Unusable public key
gpg: /test2.txt: encryption failed: Unusable public key
测试四:
在银行172.16.25.3产生一个回收公钥的证书
# gpg2 -o cancelhahahehe.asc --gen-revoke hahahehe
传给要被回收的公钥方(用户张三)
# scp cancelhahahehe.asc 172.16.25.2:/root/
公钥方(用户张三)导入这个回收证书,就可以把原来的uid为hahahehe的这个公钥给失效了
# gpg2 --import /root/cancelhahahehe.asc
公钥方(用户张三)用失效的公钥加密,已经不可以了
# gpg2 -e -r hahahehe /test2.txt
gpg: hahahehe: skipped: Unusable public key
gpg: /test2.txt: encryption failed: Unusable public key
--总结:上面的主要是说明了这个对称加密和非对称加密的原理,和演示了一过加密解密的过程; 实际在网络应用里,不会手动这么麻烦的去做;使用TLS/SSL协议,就是网络上的非对称加密的典型应用
密钥的删除:先删除私钥,再删除公钥
# gpg2 --delete-secret-keys hahahehe
# gpg2 --delete-keys hahahehe
----------------------------------------------------------------------------
gpg 数字签名
对一个文件或者rpm软件包进行签名,就是对数据完整性进行保护,表示这个文件是由官方签名的
如果你下载的文件或者rpm软件包没有对应的签名,则表示这个文件是可疑的,有可能被人恶意修改过
很多软件的官网上除了软件包的下载,还有其对应的签名文件和public key文件下载
问题1:什么是数字签名?
就相当于是对电子信息盖章
问题2:数字签名有什么用?
证明电子信息的真实性(比如,我是一个著名软件的作者,我发布一个软件要证明这是我的源代码软件,没有被别人篡改过)
问题3:我要下载一个软件,我找到正确的官方网站下载,是不是就不需要验证签名呢?
官方网站也可能被黑,所以仍然可能要验证签名
问题4:签名文件也要在官网下载的,所以如果官网被黑,那么签名文件也会被替换,再如何验证?
如果官方签名文件有CA认证的话,那么你使用被替换的签名文件来验证的话,会有报此签名文件不受信任的提示信息
签名实验一:
# vim /etc/yum.repos.d/rhel-source.repo
[server]
name=server
baseurl=file:///yum/Server
enabled=1
gpgcheck=1 --把这个0改为1
# yum install authd -y --这里随意用yum安装一个软件包,会出现下面的报错
warning: rpmts_HdrFromFdno: Header V3 RSA/SHA256 Signature, key ID fd431d51: NOKEY
Public key for authd-1.4.3-31.el6_4.x86_64.rpm is not installed
解决方法一:
# rpm --import /yum/RPM-GPG-KEY-redhat-release --导入iso镜像里的key文件
解决方法二:
# vim /etc/yum.repos.d/rhel-source.repo
[server]
name=server
baseurl=file:///yum/Server
enabled=1
gpgcheck=1
gpgkey=file:///yum/RPM-GPG-KEY-redhat-release --在这里指定gpgkey文件的路径
SSL/TLS
ssl secure socket layer 安全套接层
tls transfer layer secure 传输层安全
http+ssl/tls=https
做ssl加密的优点:
安全传输
缺点:
影响性能,需要花费一定费用维护证书
https = http + ssl (端口为443)
1,安装ssl包
# yum install httpd httpd-devel openssl\* mod_ssl -y
# ls /etc/httpd/conf.d/ssl.conf --安装成功后,会产生一个http支持ssl的子配置文件
/etc/httpd/conf.d/ssl.conf
# ls /etc/httpd/modules/mod_ssl.so --也会有一个支持ssl的模块
/etc/httpd/modules/mod_ssl.so
2,使用rpm版的ssl创建证书和密钥
# cd /etc/pki/tls/certs/
# make httpd.crt --证书名字可以随意写,扩展名用crt(不一定)
umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > httpd.key
Generating RSA private key, 1024 bit long modulus
....................++++++
.........................++++++
e is 65537 (0x10001)
Enter pass phrase:
Verifying - Enter pass phrase: --两次密码,自己设定,以后有用
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key httpd.key -x509 -days 365 -out httpd.crt -set_serial 0
Enter pass phrase for httpd.key: --输密码
Country Name (2 letter code) [GB]:cn
State or Province Name (full name) [Berkshire]:guangdong
Locality Name (eg, city) [Newbury]:shenzhen
Organization Name (eg, company) [My Company Ltd]:haha
Organizational Unit Name (eg, section) []:it
Common Name (eg, your name or your server's hostname) []:li.cluster.com
Email Address []:li@126.com
3,编译httpd配置文件,让它支持ssl
# vim /etc/httpd/conf.d/ssl.conf
100 SSLCertificateFile /etc/pki/tls/certs/httpd.crt --证书,就是公钥,散发到网上的
107 SSLCertificateKeyFile /etc/pki/tls/certs/httpd.key --私钥,自己保存的
4,重启apache
# systemctl restart httpd --如果重启服务卡,那就绑定主机名,并pkill httpd之后再启动
Enter SSL pass phrase for vm4.cluster.com:443 (RSA) : ******
Enter SSL pass phrase for vm4.cluster.com:443 (RSA) : ****** --输入创建证书时的密码
# netstat -ntlup |grep httpd
tcp 0 0 :::80 :::* LISTEN 5821/httpd
tcp 0 0 :::443 :::* LISTEN 5821/httpd
5,测试
使用另一台机器打开firefox
使用下面的url来访问,下载并确认证书
https://serverIP/
===============================================================
nginx+ssl
如果是源码编译的版本,则nginx在源码编译时要加--with-http_ssl_module编译参数来支持SSL
下面在centos7.3上使用rpm版来做
# cd /etc/pki/tls/certs/
# make nginx.crt --创建证书,得到nginx.crt和nginx.key
# yum install nginx*
# vim /etc/nginx/nginx.conf --在server { } 配置段里加上下面三句
listen 443 ssl;
ssl_certificate /etc/pki/tls/certs/nginx.crt;
ssl_certificate_key /etc/pki/tls/certs/nginx.key;
然后重启nginx就可以了
# systemctl stop httpd
# systemctl start nginx --启动报错
解决方法:
# cd /etc/pki/tls/certs/
# cp nginx.key nginx.key.bak
# openssl rsa -in nginx.key.bak -out nginx.key
# systemctl start nginx --再次启动ok
问题:比如我输入www.baidu.com会自动转成https://www.baidu.com
用rewrite规则可以实现
===================================================================================
https
华为本部 华为外包公司
ftp+ssl(自签)
smtp+ssl=smtps 465
pop3+ssl=pop3s 995
ftp+ssl=ftps
samba+ssl=smbs
tomcat+ssl=https
nfs+ssl --没有
rsync+ssl --没有
(没有是因为这些服务一般在局域网内使用)
总结:一般ssl的应用主要是https,smtps和ftps也有应用。
======================================================================
Linux安全基础知识
最新推荐文章于 2021-06-29 11:53:28 发布
扫一扫
2029
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
