Linux安全基础知识

安全1,硬件安全（机房安全，服务器上锁，服务器bios密码，grub密码等,luks硬盘或分区加密,键盘字母顺序打乱等)2,密码安全（密码复杂度，定期更改密码,密码策略等）3,用户安全或安全操作管理（访问控制，访问时间控制，锁屏－普通用户ctrl+alt+l;root用户可以安装类似xlock软件来实现.rhel7,centos7默认就可以锁屏了.rhel6里要禁止在3级别ctrl+alt+delete关机－把/etc/init/control-alt-delete.conf里的start on control-alt-delete这句给注释掉;rhel7,centos7里注释或删除/usr/lib/systemd/system/ctrl-alt-del.target文件)4,服务安全（每个服务一般都有自己的加强安全的方法或参数，还有些可以拖管到类似xinetd下加强安全等;tcp_wrapper;xinetd)5,验证安全(nis,ldap,kerberos可以实现用户集中化管理，还有些软件的验证数据是放在数据库里的（如邮件系统的用户就有数据库或ldap这种方式);pam可植入式验证模块;)6,网络或网络通讯安全(tunnel或vpn;iptables或firewalld;gpg传输加密;ssl/tls;ssh登录安全)7,软件安全（漏洞，bug，软件更新，软件安装时检测签名)8,系统审计，日志统计，日志管理9,权限加强(把一些重要的系统文件降权如:chmod 600 /etc/passwd等;文件acl;selinux;sudo等)10,入侵检测（入侵后完全性检查，数据入侵分析）11,公司内部安全（找老实有职业操守的员工,制定操作规范,老板加工资给员工幸福感@_@)docs.redhat.com参考文档:Red_Hat_Enterprise_Linux-6-Security_Guide-en-US.pdf        Red_Hat_Enterprise_Linux-7-Security_Guide-zh-CN.pdf==========================================================================================================加密硬盘分区加密cryptsetup     luks (linux unify  key setup )文件加密     PGP(Pretty Good Privacy)  gpg (GNU Privacy Guard)网络通讯加密SSL/TLS    tunnel   VPN(virtual private network)(本文介绍硬盘和文件)LUKS(Linux  Unified  Key Setup-on-disk-format)是为Linux硬盘加密标准。通过提供一个标准的磁盘上的格式，它不仅方便之间分布的兼容性，而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统可以直接对分区或者逻辑卷来进行加密# rpm -qf `which cryptsetup` cryptsetup-1.7.2-1.el7.x86_64       cryptsetup  -  setup cryptographic volumes for       dm-crypt (including LUKS extension)--下面我在虚拟机上测试，新加一个盘(大小1Ｇ就ok了)，分成/dev/vdb1，不格式化[root@localhost ~]# cryptsetup luksFormat /dev/vdb1WARNING!========This will overwrite data on /dev/vdb1 irrevocably.Are you sure? (Type uppercase yes): YES--要大写的YESEnter LUKS passphrase: Verify passphrase: --两次密码一致，并且在centos7里的版本要求密码不能太简单，有一定复杂度[root@localhost ~]# cryptsetup luksOpen /dev/vdb1 secretdisk--这里是把这个加密磁盘做一个映射，后面的secretdisk这个名字自定义Enter passphrase for /dev/vdb1: --输入上一步设定的密码[root@localhost ~]# ls /dev/mapper/secretdisk --就会产生这个设备文件/dev/mapper/secretdisk[root@localhost ~]# mkfs.xfs /dev/mapper/secretdisk--格式化，第一次需要，后面再次访问就不用了[root@localhost ~]# mount /dev/mapper/secretdisk /mnt/--挂载后，就可以进行读写操作了[root@localhost /]# umount /mnt/--如果不使用的话，先umount掉，[root@localhost /]# cryptsetup luksClose /dev/mapper/secretdisk  --再close掉，那么/dev/mapper就没有secretdisk这个设备文件了[root@localhost /]# mount /dev/vdb1 /mnt/--想对原设备进行挂载也是没有用的mount: unknown filesystem type 'crypto_LUKS'[root@localhost ~]# cryptsetup luksOpen /dev/vdb1 abc--如果想要再次使用,就用这个命令再次open一个映射,名字可以不和上次的一样;当然还是需要输入你的密码[root@localhost ~]# ls /dev/mapper/abc--就有这个设备了,挂载就可以得到里面的加密数据了--也就是说,你就算得到了root权限;没有密码,是没有办法得到里面的数据的;当然你可以格式化/dev/vdb1,但数据肯定就都没了=============================================================文件加密对称加密--用同一个密钥进行加密,也要使用这个密钥去解密;所以不适合网络传输的加密;因为你在本地用密钥加密了,传数据给另一方还需要连密钥也传给他;所以会在中途被截商家平台用户(张三) 银行             网络张三 ----------------------> 银行1     密钥加密文件 2        网络传文件和密钥         3   文件和密钥都可能在网络会被截取非对称加密--使用一对密钥(公钥和私钥),把公钥给对方,对方要给你传数据,使用这个公钥加密;中途就算被截,没有私钥是解密不了;传过来后,使用你的私钥来解密;所以适合网络传输             网络张三 ----------------------> 银行1银行产生或者花钱买一对密钥2银行把公钥发布到公网，但私钥自己保留3     用银行公钥加密数据 4        网络传加密数据给银行就可以         5就算被截取，没有私钥，无法解密PGP(Pretty Good Privacy)gpg (GNU Privacy Guard)例一，本机或远程文件的对称加密与解密加密文件：[root@li ~]# gpg2 -c test --c参数是对称加密密码：重输入密码：--加密后，产生test.gpg文件，就可以把原文件删除了；rm test -rf# file test.gpg --查看类型test.gpg: data# cat test.gpg --乱码# vim test.gpg --乱码# strings test.gpg--也看不到解密文件：[root@li ~]# gpg2 test.gpg --对目录的做加密，先把目录打包，然后再做加密--上面的加密文件scp传到远程机器，远程机器(任何机器）只要有密码，就可以解密（相当于是把加密文件和密钥一起打包传过去了）----------------------------------------------------例二,通信双方使用密钥对做非对称加密和解密模拟用户张三     模拟银行172.16.25.2   －－－－－－－－－－－－  172.16.25.3第一步:在银行172.16.25.3上查询自己电脑上的公钥和私钥# gpg2 --list-keys或 gpg2 -k--查询本机的公钥，现在为空# gpg2 --list-secret-keys   或 gpg2 -K --查询本机的私钥，现在为空在银行172.16.25.3生成非对称加密的密钥# gpg2 --gen-key--产生一对密钥Please select what kind of key you want:   (1) RSA and RSA (default)   (2) DSA and Elgamal   (3) DSA (sign only)   (4) RSA (sign only)Your selection? 1--算法选择默认的1RSA keys may be between 1024 and 4096 bits long.What keysize do you want? (2048) --密钥长度，越长越安全，但加密和解密消耗的资源和时间也较长Requested keysize is 2048 bitsPlease specify how long the key should be valid.         0 = key does not expire      <n>  = key expires in n days      <n>w = key expires in n weeks      <n>m = key expires in n months      <n>y = key expires in n yearsKey is valid for? (0) 1--密钥过期时间，我这里选择1天是为了方便后面测试Key expires at Fri 09 Oct 2015 11:35:11 AM CSTIs this correct? (y/N) yGnuPG needs to construct a user ID to identify your key.Real name: hahaName must be at least 5 characters longReal name: hahaheheEmail address: hahahehe@126.com(可以随便填)Comment: @_@You selected this USER-ID:    "hahahehe (@_@) <hahahehe@126.com>"Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O--在这里输入两次密码，然后产生密钥对，可以需要你去（敲键盘，移动鼠标等去增加随机数)gpg: checking the trustdbgpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust modelgpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1ugpg: next trustdb check due at 2015-10-09pub   2048R/001CB3D4 2015-10-08 [expires: 2015-10-09]      Key fingerprint = 4237 29F0 FE94 C99C 57ED  E0A9 7510 51DF 001C B3D4uid                  hahahehe (@_@) <hahahehe@126.com>sub   2048R/7F9ADD4B 2015-10-08 [expires: 2015-10-09]--如果不能生成成功，报随机数不够的错误；解决方法：--打开另外一个终端，并使用下面的命令查看系统随机数# cat /proc/sys/kernel/random/entropy_avail --随机数不够，可以在生成这对密钥时，再开一个终端用下面的命令生成一下# rngd -r /dev/urandom -o /dev/random -f # gpg2 -k--生成后，小写k列出公钥# gpg2 -K--大写k列出私钥第二步:在银行172.16.25.3将公钥传到对方用户张三（这里我们是测试，所以用scp就可以了)# gpg2 --export > li.asc--导出公钥，结尾必须为.asc# scp li.asc 172.16.25.2:/root/--拷到另一台模拟用户张三的电脑在用户张三172.16.25.2上导入银行传过来的公钥# gpg2 --import /root/li.asc   --先时间同步一下，保证时间一致，再导入# gpg2 -k/root/.gnupg/pubring.gpg------------------------pub   2048R/001CB3D4 2015-10-08 [expires: 2015-10-09]uid                  hahahehe (@_@) <hahahehe@126.com>sub   2048R/7F9ADD4B 2015-10-08 [expires: 2015-10-09]CA用户（工商银行公钥)　 工商银行　 钓鱼工商银行测试一:在用户张三172.16.25.2上把一个测试文件进行加密# gpg2 -e -r hahahehe /test.txt        --/test.txt是你准备好的一个测试文件--   -r参数代表公钥的名字,因为你机器可以注册别人的多个公钥把加密的文件传回给银行172.16.25.3# scp /test.txt.gpg 172.16.25.3:/test/然后去银行使用自己的私钥去解密，可以解密成功# cd /test  # gpg2 -d test.txt.gpg 测试二：如果你把加密的文件传给没有私钥的第三个人（比如用户李四),那么他也用下面的命令去解密,会直接报没有私钥,解密失败# gpg2 -d /root/test.txt.gpg gpg: encrypted with RSA key, ID E2F4585Fgpg: decryption failed: No secret key测试三把用户张三172.16.25.2的机器时间使用date-s 改成过期后的时间，再加密，就直接报公钥过期，不可用# gpg2 -e -r hahahehe /test2.txt gpg: hahahehe: skipped: Unusable public keygpg: /test2.txt: encryption failed: Unusable public key测试四:在银行172.16.25.3产生一个回收公钥的证书# gpg2 -o cancelhahahehe.asc --gen-revoke hahahehe传给要被回收的公钥方（用户张三)# scp cancelhahahehe.asc 172.16.25.2:/root/公钥方(用户张三)导入这个回收证书，就可以把原来的uid为hahahehe的这个公钥给失效了# gpg2 --import /root/cancelhahahehe.asc公钥方(用户张三)用失效的公钥加密，已经不可以了# gpg2 -e -r hahahehe /test2.txt gpg: hahahehe: skipped: Unusable public keygpg: /test2.txt: encryption failed: Unusable public key--总结:上面的主要是说明了这个对称加密和非对称加密的原理,和演示了一过加密解密的过程;  实际在网络应用里,不会手动这么麻烦的去做;使用TLS/SSL协议,就是网络上的非对称加密的典型应用密钥的删除：先删除私钥，再删除公钥# gpg2 --delete-secret-keys hahahehe# gpg2 --delete-keys hahahehe----------------------------------------------------------------------------gpg 数字签名对一个文件或者rpm软件包进行签名,就是对数据完整性进行保护,表示这个文件是由官方签名的如果你下载的文件或者rpm软件包没有对应的签名，则表示这个文件是可疑的，有可能被人恶意修改过很多软件的官网上除了软件包的下载，还有其对应的签名文件和public key文件下载问题1:什么是数字签名?就相当于是对电子信息盖章问题2:数字签名有什么用?证明电子信息的真实性（比如，我是一个著名软件的作者，我发布一个软件要证明这是我的源代码软件，没有被别人篡改过)问题3:我要下载一个软件，我找到正确的官方网站下载，是不是就不需要验证签名呢?官方网站也可能被黑，所以仍然可能要验证签名　问题4:签名文件也要在官网下载的，所以如果官网被黑，那么签名文件也会被替换,再如何验证?如果官方签名文件有CA认证的话，那么你使用被替换的签名文件来验证的话，会有报此签名文件不受信任的提示信息签名实验一:# vim /etc/yum.repos.d/rhel-source.repo[server]name=serverbaseurl=file:///yum/Serverenabled=1gpgcheck=1--把这个0改为1# yum install authd -y--这里随意用yum安装一个软件包，会出现下面的报错warning: rpmts_HdrFromFdno: Header V3 RSA/SHA256 Signature, key ID fd431d51: NOKEYPublic key for authd-1.4.3-31.el6_4.x86_64.rpm is not installed解决方法一:# rpm --import /yum/RPM-GPG-KEY-redhat-release--导入iso镜像里的key文件 解决方法二:# vim /etc/yum.repos.d/rhel-source.repo[server]name=serverbaseurl=file:///yum/Serverenabled=1gpgcheck=1gpgkey=file:///yum/RPM-GPG-KEY-redhat-release --在这里指定gpgkey文件的路径SSL/TLSsslsecure socket layer      安全套接层tlstransfer  layer  secure 传输层安全http+ssl/tls=https做ssl加密的优点:安全传输　缺点:影响性能，需要花费一定费用维护证书https  = http + ssl　　　（端口为443)1，安装ssl包# yum install httpd httpd-devel openssl\* mod_ssl -y # ls /etc/httpd/conf.d/ssl.conf   --安装成功后，会产生一个http支持ssl的子配置文件 /etc/httpd/conf.d/ssl.conf# ls /etc/httpd/modules/mod_ssl.so --也会有一个支持ssl的模块/etc/httpd/modules/mod_ssl.so2，使用rpm版的ssl创建证书和密钥# cd /etc/pki/tls/certs/# make httpd.crt--证书名字可以随意写，扩展名用crt（不一定）umask 77 ; \        /usr/bin/openssl genrsa -des3 1024 > httpd.keyGenerating RSA private key, 1024 bit long modulus....................++++++.........................++++++e is 65537 (0x10001)Enter pass phrase:Verifying - Enter pass phrase:--两次密码，自己设定，以后有用umask 77 ; \        /usr/bin/openssl req -utf8 -new -key httpd.key -x509 -days 365 -out httpd.crt -set_serial 0Enter pass phrase for httpd.key:--输密码Country Name (2 letter code) [GB]:cnState or Province Name (full name) [Berkshire]:guangdongLocality Name (eg, city) [Newbury]:shenzhenOrganization Name (eg, company) [My Company Ltd]:hahaOrganizational Unit Name (eg, section) []:itCommon Name (eg, your name or your server's hostname) []:li.cluster.comEmail Address []:li@126.com3,编译httpd配置文件，让它支持ssl# vim /etc/httpd/conf.d/ssl.conf100 SSLCertificateFile /etc/pki/tls/certs/httpd.crt--证书，就是公钥，散发到网上的107 SSLCertificateKeyFile /etc/pki/tls/certs/httpd.key--私钥，自己保存的4,重启apache# systemctl restart httpd--如果重启服务卡，那就绑定主机名，并pkill httpd之后再启动Enter SSL pass phrase for vm4.cluster.com:443 (RSA) : ******   Enter SSL pass phrase for vm4.cluster.com:443 (RSA) : ******   --输入创建证书时的密码# netstat -ntlup |grep httpdtcp        0      0 :::80                       :::*                        LISTEN      5821/httpd          tcp        0      0 :::443                      :::*                        LISTEN      5821/httpd 5,测试使用另一台机器打开firefox使用下面的url来访问，下载并确认证书https://serverIP/===============================================================nginx+ssl如果是源码编译的版本，则nginx在源码编译时要加--with-http_ssl_module编译参数来支持SSL下面在centos7.3上使用rpm版来做# cd /etc/pki/tls/certs/# make nginx.crt       --创建证书，得到nginx.crt和nginx.key# yum install nginx*# vim /etc/nginx/nginx.conf  --在server { } 配置段里加上下面三句listen    443 ssl;        ssl_certificate      /etc/pki/tls/certs/nginx.crt;        ssl_certificate_key  /etc/pki/tls/certs/nginx.key;然后重启nginx就可以了# systemctl stop httpd# systemctl start nginx--启动报错解决方法:# cd /etc/pki/tls/certs/# cp nginx.key nginx.key.bak# openssl rsa -in nginx.key.bak -out nginx.key# systemctl start nginx--再次启动ok问题:比如我输入www.baidu.com会自动转成https://www.baidu.com用rewrite规则可以实现===================================================================================https华为本部　华为外包公司ftp+ssl(自签)  smtp+ssl=smtps465pop3+ssl=pop3s995ftp+ssl=ftpssamba+ssl=smbstomcat+ssl=https  nfs+ssl--没有rsync+ssl--没有(没有是因为这些服务一般在局域网内使用)总结:一般ssl的应用主要是https,smtps和ftps也有应用。======================================================================