[] NSA SELinux Support
NSA SELinux支持
美国国家安全局(NSA)开发的安全增强Linux(SELinux)
需要一个规则选项和一个已标识的文件系统。
可以获取规则编译器(checkpolicy),一个用于标识文件系统的实用工具(setfiles),和一些配置的例子
[] NSA SELinux boot parameter
NSA SELinux启动参数
添加一个内核引导参数以允许在引导时使用'selinux=0'禁用SELinux或'selinux=1'启用SELinux
这个目的是允许一个单独的内核镜像能够在发布时嵌入SELinux,但是也不一定需要。
若不清楚,可选N
(1) NSA SELinux boot parameter default value (NEW)
NSA SELinux启动参数默认值
[] NSA SELinux runtime disable
NSA SELinux运行时禁止
这个选项允许在一个SELinux文件节点中写入disable值,它使得系统在载入规则之前,禁止SELinux运行。SELinux将一直保持禁止状态,直到下次系统启动。这个选项有点类似于selinux=0启动参数,但是支持在运行时禁止SELinux,比如从/sbin/init中实现,这样是为了在不同平台中的更好的可移植性,因为有的地方用启动参数很难实现。
[] NSA SELinux Development Support (NEW)
SELinux开发支持
这里是SELinux开发支持的选项。它对于测试SELinux和开发规则非常有用。如果不清楚,选Y。内核将以宽容模式启动(记录所有东西,不拒绝任何东西),除非你在内核命令行中指定enforcing=1。你可以通过/selinux/enforce自由地在宽容模式和严格模式中切换(只要是规则允许)。
[] NSA SELinux AVC Statistics (NEW)
NSA SELinux AVC 统计
搜集存取向量(access vector)缓冲区的统计信息并在/selinux/avc/cache_stats中显示出来.这些信息可以用avcstat之类的工具查看
(1) NSA SELinux checkreqprot default value (NEW)
NSA SELinux checkreqprot标志的默认值
这个选项为checkreqprot标记设置默认值。这个标记的作用是决定SELinux通过程序还是通过内核响应进行安全检查(包含所有的隐含可执行文件,只读-隐含-可执行),这一检查通过mmap和mprotect调用实现。如果这个值设置为0,SELinux将通过内核响应进行安全检查。如果这个值设置为1, SELinux将通过程序响应进行安全检查。checkreqprot标记可以在checkreqprot=启动参数中修改默认值。它同样可以在系统运行时通过/selinux/checkreqprot修改,只要规则允许。
若不清楚,推荐1
[] NSA SELinux maximum supported policy format version
NSA SELinux最大支持的协议格式版本
这个选项允许设置NSA SELinux最大支持的协议格式版本个数。这个值在用户空间通过/selinux/policyvers反映,并且在协议载入时使用。它可以向下调整,以支持老的用户空间,这些老的空间不能正确地处理内核和支持更新的协议版本。
举例:Fedora Core 3和4版本的发布版本,允许这个选项和通过下个选项进行设置相关值。和以后的版本,Fedora Core 5将不需要这个选项。
若不清楚,可选N
(19) NSA SELinux maximum supported policy format version value (NEW)
支持的最高策略格式版本的数值
[] Simplified Mandatory Access Control Kernel Support
简化强制访问控制内核支持
这里选择简化强制访问控制内核Smack。Smack对于敏感的、完整的和各种
其他强制安全构架非常有用。
若不清楚,可选N
[] TOMOYO Linux Support
(2048) Default maximal count for learning mode (NEW)
(1024) Default maximal count for audit log (NEW)
[ ] Activate without calling userspace policy loader.
(/sbin/tomoyo-init) Location of userspace policy loader (NEW)
(/sbin/init) Trigger for calling userspace policy loader (NEW)
[] AppArmor support
(1) AppArmor boot parameter default value (NEW)
[] Digital signature verification using multiple keyrings
[] Integrity Measurement Architecture(IMA)
Default security module (SELinux) --->
(X) SELinux
( ) Simplified Mandatory Access Control
( ) TOMOYO
( ) AppArmor
( ) Unix Discretionary Access Controls
-*- Cryptographic API --->
提供核心的加密API支持.这里的加密算法被广泛的应用于驱动程序通信协议等机制中.子选项可以全不选,内核中若有其他部分依赖它,会自动选上
--- Cryptographic API
*** Crypto core or helper ***
-*- Cryptographic algorithm manager
密码算法管理
生成默认的密码模板范例。比如CBC加密算法。
<>Userspace cryptographic algorithm configuration
[] Disable run-time self tests (NEW)
{} GF(2^128) multiplication functions
<>Null algorithms
NULL加密算法(什么也不做),用于IPsec协议的封装安全载荷模块(ESP)
<>Parallel crypto engine (EXPERIMENTAL)
{} Software async crypto daemon
-*- Authenc support
Authenc支持
Authenc:为IPSec而整合封装的模式。这在IPSec中会用到。
<>Testing module
测试模块
快速和不正规的加密测试模块。
*** Authenticated Encryption with Associated Data ***
<>CCM support
<>GCM/GMAC support
{} Sequence Number IV Generator (NEW)
*** Block modes ***
-*- CBC support
{} CTR support (NEW)
<>CTS support
<>ECB support
{} LRW support
<>PCBC support
{} XTS support
*** Hash modes ***
-*- HMAC support
HMAC支持
HMAC:信息散列验证。IPSec需要用到这项功能
<>XCBC support
XCBC支持
XCBC:散列加密算法
<>VMAC support
*** Digest ***
<>CRC32c CRC algorithm
CRC32c CRC算法
循环冗余校验算法,被iSCSI和很多场合运用于数据校验。这个算法执行
Lib/libcrc32c,模块名为crc32c。
<>CRC32c INTEL hardware acceleration
{} GHASH digest algorithm (NEW)
<>MD4 digest algorithm
MD4信息摘要算法
老旧的摘要算法,已经过时
-*- MD5 digest algorithm
MD5信息摘要算法
在linux中可以用md5sum命令来校验
主流摘要算法,128位(已被中国山东大学王小云攻破,可以快速找到碰撞)
<>Michael MIC keyed digest algorithm
Michael MIC密钥摘要算法
Michael MIC用于TKIP,主要是为了保证信息的完整性。但是它在其他地方不是很常用,因为算法本身存在弱点。
<>RIPEMD-128 digest algorithm
<>RIPEMD-160 digest algorithm
<>RIPEMD-256 digest algorithm
<>RIPEMD-320 digest algorithm
-*- SHA1 digest algorithm
SHA1摘要算法
SHA-1安全散列标准
SHA-1安全散列标准是美国国家标准和技术局发布的国家标准FIPS PUB 180-1,一般称为SHA-1。其对长度不超过264二进制位的消息产生160位的消息摘要输出。SHA是一种数据加密算法,该算法经过加密专家多年来的发展和改进已日益完善,现在已成为公认的最安全的散列算法之一,并被广泛使用
主流摘要算法,160位(已被中国山东大学王小云攻破,可以快速找到碰撞),速度与MD5相当
{} SHA224 and SHA256 digest algorithm (NEW)
SHA224和SHA256摘要算法
SHA256安全散列标准(DFIPS 180-2)
这个版本执行256位的SHA散列,它包含128位安全标准,以应对冲突攻击。
这段代码也包含了SHA-224,包含112位安全标准的224位散列,以应对冲突攻击。
更好的摘要算法,256位,速度较SHA1稍慢
<>SHA384 and SHA512 digest algorithms
SHA384和SHA512摘要算法
SHA512安全散列标准(DFIPS 180-2)
这个版本执行512位的SHA散列,它包含256位安全标准,以应对冲突攻击。
这段代码也包含了SHA-384,包含192位安全标准的384位散列,以应对冲突攻击。
更好的摘要算法,384/512位,速度大约只有SHA1的40-50%
<>Tiger digest algorithms
<> Whirlpool digest algorithms
Whirlpool(漩涡)摘要算法
Whirpool512,384和256位的散列算法
Whirpool-512是较早的“尼斯湖”加密算法之一。它将被列入ISO/IEC标准。
最安全的摘要算法,512位,已被列入ISO标准,目前最新版本为3.0(2003年发布)
*** Ciphers ***
-*- AES cipher algorithms
AES(高级加密标准)加密算法
AES加密算法(FIPS-197),它使用Rijndael算法。无论用于反馈系统还是非反
馈系统,Rijndael算法在硬件和软件中都有着好的表现,即便运用于大的运算环境。它的密钥生成时间非常优秀,而且密钥的灵活性很好。Rijndael在严格的环境中运行得非常好,这得益于它的内存需求量很低。在面对电路和计数器类型的攻击时,它的操作非常简单。
AES使用三种密钥长度:128、192、256位。
最佳的对称加密算法(Rijndael),128/192/256位,强度最高,快速且节省内存
{} AES cipher algorithms (i586)
最佳的对称加密算法(Rijndael),128/192/256位,强度最高,快速且节省内存(针对i586的版本)
<>AES cipher algorithms (AES-NI)
<>Anubis cipher algorithm
Anubis加密算法
Anubis使用可变的128至320位的密钥。它是尼斯湖竞赛的参赛者之一。
NESSIE(尼斯湖竞赛)是欧洲委员会的信息社会技术IST规划中所支持的一项工程,支持年限三年(2000.01至2002.12)投资33亿欧元。它对各种计算机加密算法分析性能指标及运行结果,并做出评价。
-*- ARC4 cipher algorithm
ARC4是一种加密流,使用的密钥从8位到2048位。这种算法主要运用于基于驱动器的WEP(详见下文),但是它在其他场合由于算法的弱点,不被广泛使用。
WEP-Wired Equivalent Privacy加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。
802.11b标准里定义的一个用于无线局域网WLAN的安全性协议。WEP被用来提供和有线LAN同级的安全性。LAN天生比WLAN安全,因为LAN的物理结构对其有所保护,部分或全部网络埋在建筑物里面也可以防止未授权的访问。
经由无线电波的WLAN没有同样的物理结构,因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。如果你的无线基站支持MAC过滤,推荐你连同WEP一起使用这个特性(MAC过滤比加密安全得多)。
<>Blowfish cipher algorithm
<>Camellia cipher algorithms
<>CAST5 (CAST-128) cipher algorithm
CAST5(CAST-128)对称加密算法
<>CAST6 (CAST-256) cipher algorithm
CAST6(CAST-256)对称加密算法
-*- DES and Triple DES EDE cipher algorithms
DES和多重DES EDE加密算法
<>FCrypt cipher algorithm
FCrypt加密算法
<>Khazad cipher algorithm
Khazad加密算法
Khazad是初始的NESSIE(尼斯湖)竞赛中的决赛算法。它针对64位处理器进行了优化,同时它在32位处理器也运行得很好。它使用128位的密钥。
<>Salsa20 stream cipher algorithm (EXPERIMENTAL)
Salsa20流加密算法
Sala20流加密算法是由eSTREAM(流加密工程项目)提出。它由Daniel J.Bernstein设计。
<>Salsa20 stream cipher algorithm (i586) (EXPERIMENTAL)
Salsa20流加密算法(i586)
用于586处理器的Sala20流加密算法。
<>SEED cipher algorithm
SEED(种子)加密算法
它采用128位的密钥块运算。这种算法由KISA(朝鲜信息安全机构)开发,并成为朝鲜共和国的国家标准算法。
{} Serpent cipher algorithm
<>Serpent cipher algorithm (i586/SSE2)
<>TEA, XTEA and XETA cipher algorithms
TEA,XTEA和XETA加密算法
TEA(小型加密算法)是一种简单的运算,它用于很多安全环境,它非常小巧,占用的内存很少。
XTEA(扩展小型加密算法)是TEA的升级,它改善了密钥的潜在弱点
XETA是XTEA的兼容模式,以便一些环境无法使用XTEA时使用。
<>Twofish cipher algorithm
Twofish加密算法
双鱼加密算法使用于计数窗格系统,它被研究者纳入AES(高级加密标准)的算法之一。它采用16个循环块加密的方式,支持的密钥长度有128、192、和256位。
<>Twofish cipher algorithms (i586)
Twofish加密算法
用于586处理器的双鱼加密算法。
*** Compression ***
<>Deflate compression algorithm
Deflate压缩算法
这是Deflate压缩算法(RFC1951),运用于IPCOMP协议下的IPSec。
如果你使用IPSec,那么你很有可能会需要它。
当在IPSec中使用IPCOMP协议时才需要
<>Zlib compression algorithm
<>LZO compression algorithm
LZO压缩算法
*** Random Number Generation ***
<>Pseudo Random Number Generation for Cryptographic modules
<>User-space interface for hash algorithms
<>User-space interface for symmetric key cipher algorithms
[] Hardware crypto devices (NEW) --->
硬件加密设备
选Y,你将能看到硬件加密设备和处理器的选项。这个选项本身不会增加任
何的内核代码。
--- Hardware crypto devices
<>Support for VIA PadLock ACE
VIA高级密码引擎锁支持
一些VIA处理器使用整合的加密引擘(所以叫做高级密码引擘),它提供非常快的密码指令操作,以支持各种加密算法。
<>PadLock driver for AES algorithm
VIA锁的AES算法锁驱动
<>PadLock driver for SHA1 and SHA256 algorithms
VIA锁的SHA1/SHA256算法驱动
<>Support for the Geode LX AES engine
Geodesic LX AES引擎支持
选Y,你将可以使用固化在AMD Geodesic LX处理器主板上的AES引擘来执行AES加密算法。
<>Driver HIFN 795x crypto accelerator chips
HIFN 795x加密加速芯片驱动
[] HIFN 795x random number generator
[] Virtualization --->
在这选Y,你将可以看到一些相关的选项,以便用你的linux主机通过虚拟机(客户)模式运行其他的操作系统。
我的系统已经运行在虚拟机中,不需要再支持虚拟化
--- Virtualization
<>Kernel-based Virtual Machine (KVM) support
基于内核的虚拟机(KVM)支持
通过硬件扩展,来实现主机完全地对客户机的虚拟化。你将需要一个不错的较新的处理器,上面配置有虚拟化扩展。你还需要在下面的选项选择輱个或者更多的处理器模块。
这些模块提供对硬件功能的访问权,这通过/dev/kvm中的一个设备节点字符来实现。
编译成模块为:kvm
<>KVM for Intel processors support
对Intel处理器的KVM支持
处理器上有VT扩展
<>KVM for AMD processors support
对AMD处理器的KVM支持
处理器上有AMD-V(SVM)扩展。
[] Audit KVM MMU
<>Host kernel accelerator for virtio net (EXPERIMENTAL)
<>Linux hypervisor example code
Linux高级伪装范例代码
这是非常简单的模块,允许你运行多重的linux内核实例。
Library routines --->
库子程序
仅有那些不包含在内核原码中的第三方内核模块才可能需要,可以全不选,内核中若有其他部分依赖它,会自动选上。会根据此前的优化自动调整,默认即可
<> CRC-CCITT functions
这个功能是为一些需要的模块而提供的,通常这些模块不是编译在内核之中。
传送8-bit字符,欧洲标准
<> CRC16 functions
16位CRC校验功能
这个功能是为一些需要的模块而提供的,通常这些模块不是编译在内核之中。
<> CRC calculation for the T10 Data Integrity Field
CRC计算T10数据完整域
这个选项只有在模块不处于内核树中,需要计算CRC检查时用到,它用于SCSI数据完整性子系统。
<> CRC ITU-T V.41 functions
这个功能是为一些需要的模块而提供的,通常这些模块不是编译在内核之中。
-*- CRC32 functions
32位CRC功能
这个功能是为一些需要的模块而提供的,通常这些模块不是编译在内核之中。
用于点对点的同步数据传输中,传输网络数据包所必须的
<> CRC7 functions
这个功能是为一些需要的模块而提供的,通常这些模块不是编译在内核之中。
<> CRC32c (Castagnoli, et al) Cyclic Redundancy-Check
用于点对点的同步数据传输中,比如iSCSI设备