day68-linux服务安全

最新推荐文章于 2023-04-08 14:41:30 发布
最新推荐文章于 2023-04-08 14:41:30 发布
阅读量419 收藏 1
点赞数 2
分类专栏: 运维 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuangzeng/article/details/120021657
版权

服务安全

服务安全概述

SELinux
数据加密
常用服务安全

SELinux

访问控制分类

  • DAC
    Discretionary Access Control,自主访问被控制,依据进程的所有者与文件资源的rwx权限来决定有无访问权限。
    缺点:

    1. 如果某个进程以root身份运行,可能被恶意目的
    2. 用户可以取得进程来获得文件的访问权限

    总结:DAC针对控制的主体是用户

  • MAC
    Mandatory Access Control,强制访问控制,依据策略规则决定进程可以访问哪些文件

优点:

即使是root用户,在使用不同进程时,所能取得的权限并不一定是root,需要看当时进程的设置而定

总结:MAC针对控制的主体是进程

SELinux介绍

SELinux(安全增强型Linux)是美国国家安全局开发,是实现系统安全性的额外机制,其目标之一是保护用户的数据免 受已泄露的系统服务的威胁。

SELinux提供一些默认的策略(Policy), 并在该策略内提供多个规则(rule),让用户可以选择是否启用该控制规则

例如:在强制访问控制的设置下,进程能够活动的空间变小了,httpd进程默认只能访问/var/www/目录中的文件, 所以即使httpd被黑客取得了控制权,其也将无法对系统中其它目录或文件进行浏览或更改。

  • 无强制访问控制
[root@localhost ~]# cat /etc/selinux/config
SELINUX=disabled

在这里插入图片描述

  • 有强制访问控制
[root@localhost ~]#cat /etc/selinux/config
SELINUX=enforcing

在这里插入图片描述

许可访问控制
[root@localhost ~]#cat /etc/selinux/config
SELINUX=permissive

在这里插入图片描述

SELinux策略模式设置

  • 配置文件

交互式

[root@localhost ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are
protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

非交互式

[root@localhost ~]# sed -ri 's/SELINUX=disabled/SELINUX=enforcing/' /etc/selinux/config

[root@localhost ~]# grep SELINUX /etc/selinux/config
# SELINUX= can take one of these three values:
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
SELINUXTYPE=targeted

命令行

[root@localhost ~]# getenforce
[root@localhost ~]# setenforce 0 #0为许可模式, 1 为强制模式
[root@localhost ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31

数据加密技术

数据加密概述

加/解密就是函数变换的过程

在这里插入图片描述

加密体系分类

根据加密钥匙不同,可以分为:

  • 传统加密/对称加密

加密和解密使用一同把钥匙

优点:效率高,加密速度快,可以加密大量的数据,几个G 至几十个G

缺点:密钥的传递问题
在这里插入图片描述
对称加密算法:DES, 3DES, RC4, RC5, RC6, BASE64, AES

  • 公钥加密/非对称加密
    加密和解密使不用的同钥匙,一般是公钥加密,私钥解密 优点:解决了密钥传递的问题 缺点:效率低,加密速度 慢,比对称加密速度慢 1000 倍,只能加密少量数据
    在这里插入图片描述

非对称加密算法:RSA,DSA

  • 单向加密
    只能单向加密,不可逆
    Hash算法:md5,sha

对称加密 OpenSSL

#加密
[root@localhost ~]# openssl enc -des3 -in /etc/passwd -out /home/passwd.enc
[root@localhost ~]# openssl enc -des3 -a -in /etc/passwd -out /home/passwd1.enc

#解密
[root@localhost ~]# openssl enc -des3 -d -in /home/passwd.enc
[root@localhost ~]# openssl enc -des3 -a -d -in /home/passwd1.enc -out
/password_new.txt

非对称加密 GnuPG

公钥加密,私钥解密

GnuPG(开源)非对称加密:

主机A: 必须通过gdm或文本登录系统,不能使用su进行切换。

[root@localhost ~]# useradd jack
[root@localhost ~]# su - jack
[jack@localhost ~]$
#错误的,不能生密钥。

下方是正确的

[jack@localhost ~]$ gpg --gen-key
gpg (GnuPG) 2 .0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

请选择您要使用的密钥种类:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (仅用于签名)
(4) RSA (仅用于签名)
您的选择? 1
RSA 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸?(2048)
您所要求的密钥尺寸是 2048 位
请设定这把密钥的有效期限。
0 = 密钥永不过期
<n>  = 密钥在 n 天后过期
<n>w = 密钥在 n 周后过期
<n>m = 密钥在 n 月后过期
<n>y = 密钥在 n 年后过期
密钥的有效期限是?(0) 0
密钥永远不会过期
以上正确吗?(y/n)y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

真实姓名:jackuser
电子邮件地址:jackuser@aiops.net.cn
注释:abc
您选定了这个用户标识:
“jackuser (abc) <jackuser@aiops.net.cn>”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?O
您需要一个密码来保护您的私钥。

我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。

gpg: 密钥 9A2CF9E0 被标记为绝对信任
公钥和私钥已经生成并经签名。

gpg: 正在检查信任度数据库
gpg: 需要 3 份勉强信任和 1 份完全信任,PGP 信任模型
gpg: 深度: 0 有效性:  1 已签名:  0 信任度:0-,0q,0n,0m,0f,1u
pub 2048R/9A2CF9E0 2019-02-26
密钥指纹 = 0BE4 1DCA 4E00 6954 83D8 5C5E 5F25 BF4D 9A2C F9E
uid jackuser (abc) <jackuser@aiops.net.cn>
sub 2048R/7873327D 2019-02-26

查看密钥

[jack@localhost ~]$ gpg --list-keys
/home/jack/.gnupg/pubring.gpg
-----------------------------
pub 2048R/9A2CF9E0 2019-02-26
uid				jackuser (abc) <jackuser@aiops.net.cn>
sub 2048R/7873327D 2019-02-26

发送公钥至密钥接收方(接收方是主机B)
第一步:导出

[jack@localhost ~]$ gpg -a -o jackuserpub  --export jackuser
#-o 导出位置及文件名
#--export jackuser 表示导出哪个用户的,是UID

第二步:发送

[jack@localhost ~]$ scp jackuserpub root@192.168.2.20:/home/owen
#注意要使用root用户

主机B:
第一步:导入

[owen@localhost ~]$ gpg --import jackuserpub
gpg: 已创建目录‘/home/owen/.gnupg’
gpg: 新的配置文件‘/home/owen/.gnupg/gpg.conf’已建立
gpg: 警告:在‘/home/owen/.gnupg/gpg.conf’里的选项于此次运行期间未被使用
gpg: 钥匙环‘/home/owen/.gnupg/secring.gpg’已建立
gpg: 钥匙环‘/home/owen/.gnupg/pubring.gpg’已建立
gpg: /home/owen/.gnupg/trustdb.gpg:建立了信任度数据库
gpg: 密钥 9A2CF9E0:公钥“jackuser (abc) <jackuser@aiops.net.cn>”已导入
gpg: 合计被处理的数量: 1
gpg: 已导入:1 (RSA: 1 )

第二步:查看

[owen@localhost ~]$ gpg --list-keys
/home/owen/.gnupg/pubring.gpg
-----------------------------
pub 2048R/9A2CF9E0 2019-02-26
uid jackuser (abc) <jackuser@aiops.net.cn>
sub 2048R/7873327D 2019-02-26

第三步:使用

[owen@localhost ~]$ gpg -e -a -r jackuser 123.enc.txt #jackuser是uid
gpg: 7873327D:没有证据表明这把密钥真的属于它所声称的持有者

pub 2048R/7873327D 2019-02-26 jackuser (abc) <jackuser@aiops.net.cn>
主钥指纹: 0BE4 1DCA 4E00 6954 83D8 5C5E 5F25 BF4D 9A2C F9E
子钥指纹: F426 9D44 A5CB 0A00 C88E FDAF CF27 0859 7873 327D

这把密钥并不一定属于用户标识声称的那个人。如果您真的知道自
己在做什么,您可以在下一个问题回答 yes。

无论如何还是使用这把密钥吗?(y/N)y
[owen@localhost ~]$
[owen@localhost ~]$ ls
123.enc.txt jackuserpub 模板 图片 下载 桌面
123.enc.txt.asc 公共 视频 文档 音乐

#又一个实例:指定输出目录
[owen@localhost ~]$ gpg -e -a -o /tmp/456.txt.asc -r jackuser 456.txt
gpg: 7873327D:没有证据表明这把密钥真的属于它所声称的持有者

pub 2048R/7873327D 2019-02-26 jackuser (abc) <jackuser@aiops.net.cn>
主钥指纹: 0BE4 1DCA 4E00 6954 83D8 5C5E 5F25 BF4D 9A2C F9E
子钥指纹: F426 9D44 A5CB 0A00 C88E FDAF CF27 0859 7873 327D

这把密钥并不一定属于用户标识声称的那个人。如果您真的知道自
己在做什么,您可以在下一个问题回答 yes。

无论如何还是使用这把密钥吗?(y/N)y

第四步:传给公钥拥有者(主机A jack)

1 [owen@localhost ~]$ scp 123.enc.txt.asc root@192.168.2.10:/home/jack

主机A操作解密:必须gdm登录或文本登录

[jack@localhost ~]$ gpg -d -a -o 123.txt 123.enc.txt.asc  #-o 指定输出目录

您需要输入密码,才能解开这个用户的私钥:“jackuser (abc) <jackuser@aiops.net.cn>2048 位的 RSA 密钥,钥匙号 7873327D,建立于 2019-02-26 (主钥匙号 9A2CF9E0)

gpg: 由 2048 位的 RSA 密钥加密,钥匙号为 7873327D、生成于 2019-02-26
“jackuser (abc) <jackuser@aiops.net.cn>

非对称加密 SSL/TLS

加密传输的数据
用于验证通信的双方是彼此声称的那个人!

CA简介

CA :CertificateAuthority的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书

功能:证书发放、证书更新、证书撤销和证书验证。

作用:身份认证,数据的不可否认性

证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书

HTTP转HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单是HTTP的安全版。

SSL:(Secure Socket Layer)安全套接字层,通过一种机制在互联网上提供密钥传输 其主要目标是保证两个应用
间通信数据的保密性和可靠性,可在服务器端和用户端同时支持的一种加密算法 目前主流版本SSLV2、SSLV3(常
用)。

SSL四次握手安全传输:

加密协议: SSL 3 .0 或 TLS 1.

C -------------------------------------------------> S 1. 请求一个安全的会话,协商算法

C <------------------------------------------------- S 2. 将自己Server端的证书给客户端,证
书中包括了 64 自己的公钥

C -------------------------------------------------> S 3. 客户端用浏览器中存放CA的根证书检
测client证书,如果对,使用CA根证书中的公钥解密 得到CA的公钥; 然后生成一把对称的加密密钥,用client的
公钥加密这个密钥发给CA , 后期使用对称密钥加密数据

C <------------------------------------------------> S 4 .client使用私钥解密,得到对称的加
密密钥然后,使用对称加密密钥来进行安全快速传输数据
CA认证实现

在这里插入图片描述

环境准备:
所有主机

[root@localhost ~]# cat /etc/hosts
...
192.168.2.10 ca.aiops.net.cn
192.168.2.20 http://www.aiops.net.cn
CA主机
[root@localhost ~]# hostnamectl set-hostname ca

#软件是否安装
[root@ca ~]# rpm -q openssl
openssl-1.0.2k-12.el7.x86_64
修改CA配置文件
#vim /etc/pki/tls/openssl.conf

[ CA_default ]

dir = /etc/pki/CA  #保存目录 # Where everything is kept
certs = $dir/certs  # Where the issued certs are kept
crl_dir = $dir/crl  # Where the issued crl are kept
database  = $dir/index.txt  # database index file.
#unique_subject = no # Set to 'no' to allow creation of
# several ctificates with same subject.
new_certs_dir = $dir/newcerts # default place for new certs.

certificate = $dir/ca.crt #修改 # The CA certificate ##
serial  = $dir/serial # The current serial number
crlnumber = $dir/crlnumber  # the current crl number
# must be commented out to leave a V1 CRL
crl = $dir/crl.pem  # The current CRL
private_key = $dir/private/ca.key  #修改 # The private key
RANDFILE  = $dir/private/.rand  # private random number file

x509_extensions = usr_cert  # The extentions to add to the cert

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BJ

localityName  = Locality Name (eg, city)
localityName_default  = BJ

0 .organizationName  = Organization Name (eg, company)
0 .organizationName_default  = aiops

######生成CA私钥和CA自签名证书

 #准备文件
[root@ca tls]# cd /etc/pki/CA
[root@ca CA]# ls
certs crl newcerts private
[root@ca CA]# touch index.txt
[root@ca CA]# echo 00 > serial
[root@ca CA]# ls
certs crl index.txt newcerts private serial

#生成private
[root@ca CA]# (umask 077;openssl genrsa -out private/ca.key -des3 2048)
Generating RSA private key, 2048 bit long modulus
.............+++
...................+++
e is 65537 (0x10001)
Enter pass phrase for private/ca.key: #输入密码
Verifying - Enter pass phrase for private/ca.key: #再次输入密码

[root@ca CA]# ls private/
ca.key
CA生成CA自签名证书
[root@ca CA]# openssl req -new -x509 -days 7300 -key private/ca.key > ca.crt
Enter pass phrase for private/ca.key: #输入密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]: #回车
State or Province Name (full name) [Beijing]:#回车
Locality Name (eg, city) [Beijing]:#回车
Organization Name (eg, company) [aiops]:#回车
Organizational Unit Name (eg, section) []:IT #写入部门名称
Common Name (eg, your name or your server's hostname) []:ca.aiops.net.cn #服务器名称,一定能解析。
Email Address []:ca@aiops.net.cn #可写可不写

[root@ca CA]# ls
ca.crt certs crl index.txt newcerts private serial
web服务器(httpd)
1 [root@localhost ~]# hostnamectl set-hostname web
安装httpd及ssl模块
[root@web ~]# yum -y install httpd mod_ssl

[root@web ~]# echo "test" >> /var/www/html/index.html
生成web服务器私钥
[root@web ~]# openssl genrsa -out /etc/httpd/httpd.key
Generating RSA private key, 2048 bit long modulus
......................................+++
........+++
e is 65537 (0x10001)
生成web证书申请的请求文件
[root@web ~]# openssl req -new -key /etc/httpd/httpd.key -out /tmp/httpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN #与CA一致
State or Province Name (full name) []:Beijing#与CA一致
Locality Name (eg, city) [Default City]:Beijing#与CA一致
Organization Name (eg, company) [Default Company Ltd]:aiops#与CA一致
Organizational Unit Name (eg, section) []:web #自己填写
Common Name (eg, your name or your server's hostname) []:www.aiops.net.cn #与主机名称一致
Email Address []:web@aiops.net.cn

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: #回车
An optional company name []:#回车
发送CSR文件给CA
1 [root@web ~]# scp /tmp/httpd.csr 192.168.2.10:/tmp
CA给web服务器颁发证书
[root@ca CA]# openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/ca.key:
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 0 (0x0)
Validity
Not Before: Feb 26 05 :28:03 2019 GMT
Not After : Feb 26 05 :28:03 2020 GMT
Subject:
countryName = CN
stateOrProvinceName = Beijing
organizationName  = aiops
organizationalUnitName  = web
commonName  = http://www.aiops.net.cn
emailAddress  = web@aiops.net.cn
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
 28 :AF:47:16:83:C3:EC:2B:06:AE:A1:E1:F0:85:E1:D0:30:6F:C5:0F
X509v3 Authority Key Identifier:
keyid:A0:E3:92:C7:D7:F0:B5:16:17:8E:FD:04:8D:09:4B:38:CC:DF:99:5A

Certificate is to be certified until Feb 26 05 :28:03 2020 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
CA把颁发证书发送给web服务器
1 [root@ca CA]# scp /tmp/httpd.crt 192.168.2.20:/etc/httpd/
web服务器应用证书
  • Apache支持SSL
1 [root@web ~]# yum -y install mod_ssl

[root@web ~]# ls /etc/httpd/conf.d/
autoindex.conf README ssl.conf userdir.conf welcome.conf
配置指定证书和私钥
[root@httpdweb ~]# cat /etc/httpd/conf.d/www.conf
<VirtualHost 192.168.2.20:80>
DocumentRoot /var/www/html
ServerName www.aiops.net.cn
ServerAlias aiops.net.cn

RewriteEngine On
RewriteRule ^(.*)$ https://www.aiops.net.cn$1 [R=301,L]
</VirtualHost>

<VirtualHost 192.168.2.20:443>
ServerName www.aiops.net.cn
DocumentRoot /var/www/html

SSLEngine on
#SSLProtocol all -SSLv2 -SSLv
#SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

SSLCertificateFile /etc/httpd/httpd.crt
SSLCertificateKeyFile /etc/httpd/httpd.key
</VirtualHost>
Linux客户机验证
[root@localhost ~]# hostnamectl set-hostname webclient
Linux客户机命令行验证
[root@webclient ~]# cat ca.crt >> /etc/pki/tls/certs/ca-bundle.crt
[root@webclient ~]# curl http://www.aiops.net.cn
Linux客户机浏览器验证

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入代码片
客户机浏览器验证结果

在这里插入图片描述

web服务器(nginx)
nginx服务器安装
[root@web ~]# yum -y install epel-release
[root@web ~]# yum -y install nginx
证书获取
[root@web cert]# pwd
/etc/nginx/cert
[root@web cert]# ls
nginx.crt nginx.key
nginx服务器配置
[root@web nginx]# cat nginx.conf

server {

	listen 80 ; #修改
	server_name www.aiops.net.cn aiops.net.cn; #修改
	#root /usr/share/nginx/html;
	return 301 https://www.aiops.net.cn/$request_uri; #添加

	# Load configuration files for the default server block.
	include /etc/nginx/default.d/*.conf;

	location / {
	}

	error_page 404 /404.html;
		location = /40x.html {
	}

	error_page 500 502 503 504 /50x.html;
		location = /50x.html {
	}
}

# Settings for a TLS enabled server.
#
server {
	listen 443 ssl; #修改
	# listen [::]:443 ssl http2 default_server;
	server_name www.aiops.net.cn; #修改
	root /usr/share/nginx/html; #开启
	ssl on; #开启
	ssl_certificate "/etc/nginx/cert/nginx.crt"; #修改
	ssl_certificate_key "/etc/nginx/cert/nginx.key"; #修改
	# ssl_session_cache shared:SSL:1m;
	ssl_session_timeout 10m; #开启
	ssl_protocols SSLv2 SSLv3 TLSv1; #添加
	# ssl_ciphers HIGH:!aNULL:!MD5;
	# ssl_prefer_server_ciphers on;
#
#	# Load configuration files for the default server block.
	# include /etc/nginx/default.d/*.conf;
#
	# location / {
	# }
#
	# error_page 404 /404.html;
		# location = /40x.html {
	# }
#
	# error_page 500 502 503 504 /50x.html;
		# location = /50x.html {
	# }

} #开启

}
客户机访问验证结果

在这里插入图片描述

互联网证书获取

在日常工作中,我们经常遇到一些网站要求把web访问协议http转成https协议,这就要求我们必须对域名进行SSL证书申请并应用。
申请域名:www.aliyun.com

爪蛙毁一生
关注
专栏目录
linux服务安全
curiouswen的博客
10-07 505
1、设置登录提示语 /etc/motd文件内容添加一下内容: 非系统管理员邀请请勿登录本服务器,否则后果自负!! 2、命令记录加上时间戳 /etc/bashrc文件最后添加以下内容: HISTFILESIZE=4000 HISTSIZE=4000 HISTTIMEFORMAT='%F %T' export HISTTIMEFORMAT
linux安全
热门推荐
yan_0916的博客
11-12 2万+
这里写目录标题一.安全技术和防火墙1 安全技术2.防火墙的分类二.firewalld服务1.firewalld 介绍2.归入zone顺序3.命令行配置3.1.基础命令3.2.查看现有firewall设置3.3.设置查看默认区3.4.添加源地址(网段)及端口 及服务三.iptables1.iptables的组成概述2.实际操作添加查看删除、清空规则 一.安全技术和防火墙 1 安全技术 -入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威
linux安全服务
weixin_34273046的博客
11-27 79
开机启动的服务 查看开机启动的服务 chkconfig --list 开机自动启动的服务 chkconfig service name on 开机不启动的务 chkconfig service name off 增加服务安全服务私有的安全性机制 服务公用的安...
linux安全服务管理,Linux系统安全管理服务配置方法与技巧
weixin_39977276的博客
05-04 239
任何计算机安全措施的一个重要方面是维持实际控制服务的运行。本文向你展示了在Linux操作系统的PC机上如何配置安全服务管理。任何计算机安全措施的一个重要方面是维持实际控制服务的运行,让不必要的网络服务接受请求将提高系统的安全风险。即使这些网络服务对于服务器的某些功能是必要的也需要仔细管理,并且对其进行配置最小化不受欢迎的入侵和登录的可能性。为Linux安全性时,使用/etc/inittab文件、r...
linux安全服务安全
小郑
04-08 398
selinux默认开启强制访问控制。
Linux服务安全
qq_43288686的博客
06-24 217
1、请说明程序和进程的关系。 (1)程序只是一个静态的指令集合,而进程是一个程序的动态执行过程,它具有生命周期,是动态的产生和消亡的。 (2)进程是系统资源分配和调度的基本单位,因此,它使用系统的运行资源。而程序不能申请系统资源,不能被系统调度,也不能作为独立运行的单位,因此,它不占用系统的运行资源。 (3)程序和进程无一一对应关系。一方面一个程序可以由多个进程所共用,即一个程序在运行过程中可以产生多个进程;另一方面,一个进程在生命期内可以顺序的执行若干个程序。 2、请写出配置本地yum源的命令。 先挂在光
Linux安全
FzongJC的博客
03-15 5270
Linux安全 一台Linux系统初始化环境后需要做一些什么安全工作? 答:1、添加普通用户登录,禁止root用户登录,更改SSH端口号 (注意:修改SHH端口不一定是绝对的,如果暴露在外网,需要修改一下。) 2、服务器使用秘钥登录,禁止密码登录。 3、安装fai2ban这种防止SSH暴力破击的软件。 4、关闭selinux和防火墙,设置防火墙相关规则。 5、设置只允许本公司办公网络出口IP才能登陆。 (注意:也可以安装VPN等软件,只允许连接VPN到服务器) 6、修改历史命令记录的条数为
五:Day01-Linux虚拟机
最新发布
10-08
10. **远程访问**:通过SSH(Secure Shell)服务,可以实现远程登录Linux虚拟机,常用工具如`ssh`命令、PuTTY、Xshell等。SSH提供了加密的安全连接,是管理远程Linux系统的标准方式。 11. **系统日志与监控**:了解...
day37-Linux.pdf
07-18
- **稳定性与安全性**:相较于Windows,Linux在长时间运行下更为稳定且不易受到病毒攻击。 - **成本效益**:Linux对个人用户通常免费,降低了软件成本。 - **后端JavaEE开发需求**:作为JavaEE开发人员,掌握Linux...
day30- Linux基础(二).pdf
03-08
用户和组的管理是Linux系统安全性的核心,包括创建用户、修改用户属性、设置用户组等操作。文档中举例了如何用`visudo`命令安全地编辑sudo配置文件,这个文件位于`/etc/sudoers`。通过修改该文件,可以配置普通用户...
Linux运维-运维构架师-day12-基础模块.zip
06-06
在“Linux运维-运维构架师-day12-基础模块.zip”这个压缩包中,我们很显然关注的是Linux系统的运维和架构设计。这个课程可能是针对有一定基础的学习者,旨在深化他们对Linux系统管理的理解,特别是在运维架构方面。...
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及G
11-02
"Linux运维-04-日志分析-日志监控ELK-day03-生产案例及Git版本控制"这个主题深入探讨了如何使用ELK(Elasticsearch、Logstash、Kibana)堆栈进行日志管理和分析,并结合Git进行版本控制,以提升工作效率。...
十大企业级Linux服务安全防护要点
weixin_34102807的博客
03-27 2574
随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服务、集群服务等等。因此,Linux安全性就成为了企业构筑安全应用的一个基础,是重中之重,如何对其进行安全防护是企业需要解决的一个基础性问题,基于此,本文将给出十大企业级Linux服务安全防护的要点。1、强化:密码管理设定登录密码是一项非常重要的安全措施,如果用户的密码设定...
使用GPG加密信息
daemon69的专栏
08-08 973
文档内容大部分参考自:用GnuPG进行信息加密和解密,差别在Linux平台,而不是Windows平台。内容描述如何使用GnuPG加密文件,以实现安全的网络传输。 一、介绍     我们都知道,互联网是不安全的,但其上所使用的大部分应用,如Web、Email等一般都只提供明文传输方式(用https、smtps等例外)。所以,当我们需要传输重要文件时,应该对当中的信息加密。非对称密码系统是其中
SELinux系统防护:掌握SELinux保护机制的状态控制
彭淦淦的博客
05-13 633
2.1 问题 本例要求掌握SELinux保护机制的状态控制,以及简单防护策略的调整。 一方面,学会转换SELinux运行状态,比如使SELinux为Enforcing强制模式。 另一方面,熟悉SELinux对Web目录的保护: 先创建网页目录及文件/webdir1/index.html,内容为 ntd666 然后将/webdir1目录mv到/var/www/html/目录下 确保可访问 http://虚拟机IP地址/webdir1/ 还有,熟悉SELinux对Web端口的保护: 配置httpd服务监听82
gpg(GnuPG)生成密钥时卡住在We need to generate a lot of random bytes
qq_38493182的博客
06-02 1188
** gpg生成密钥时,提示需要一些随机数 ** 我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动 鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。 We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during th
使用gpg工具实现公钥加密
xiaochenwj1995的博客
10-16 3269
在hostB主机上用公钥加密,在hostA主机上解密 在hostA主机上生成公钥/私钥对 gpg --gen-key 在hostA主机上查看公钥 gpg --list-keys 在hostA主机上导出公钥到wang.pubkey gpg -a --export -o wang.pubkey 从hostA主机上复制公钥文件到需加密的B主机上 scp wang.pubkey hostB: 在需加...
RSA算法多种生成公私钥的方式
小安安
10-10 1万+
RSA算法多种生成公私钥的方式
day80-86-容器技术-docker基础
爪蛙毁一生的博客
09-20 4437
PaaS 一、虚拟化分类 虚拟化资源提供者 硬件平台虚拟化 操作系统虚拟化 虚拟化实现方式 Type I 半虚拟化 Type II 硬件辅助全虚拟化 Type III 软件全虚拟化 操作系统虚拟化 回顾硬件平台虚拟化与操作系统虚拟化区别 主机虚拟化与容器虚拟化的优缺点 主机虚拟化 应用程序运行环境强隔离 虚拟机操作系统与底层操作系统无关化 虚拟机内部操作不会影响到物理机 拥有操作系统会占用部署资源及存储 网络传输效率低
Linux运维面试深度解析:系统管理与服务监控
Linux中,可以通过`sshd`服务提供SSH服务。配置SSH服务通常涉及编辑`/etc/ssh/sshd_config`文件,设置如监听端口、允许登录的用户、公钥认证等参数。启动或重启`sshd`服务以应用更改: ``` systemctl start sshd ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爪蛙毁一生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值