- RHCSARHCE 紅帽Linux認證學習指南(第7版)EX200 & EX300
- (美)Michael Jang等
- 1751字
- 2020-11-29 00:30:04
第4章 RHCSA級的安全選項
Linux安全是從“自主訪問控制(Discretionary Access Control, DAC)”這個概念開始的。自主訪問控制涉及文件和目錄的權限和所有權。通過使用特殊的位,包括訪問控制列表(Access Control List, ACL),權限可以比簡單的user/group/other分類更加精細。這些訪問控制列表把權限分配給某些特定的用戶或組,覆蓋了標準的權限,允許為指定的文件或目錄設置更加精細的訪問規則。
此外,安全領域的另一個概念是防火墻。本章討論iptables服務(這是RHEL 6中的默認防火墻)和新的防火墻守護進程,后者支持不同的信任區域。本章將介紹如何使用firewall-config圖形實用工具和firewall-cmd命令工具來允許或阻止通過firewalld的服務。
大部分Linux系統上都安裝了SSH服務。這是登錄到一臺機器上非常常用的一個服務,所以各地的黑帽黑客都希望找到SSH的弱點。因此,本章還將介紹如何為SSH使用基于密鑰的驗證來提高安全性。
通過另一個安全概念即強制訪問控制(Mandatory Access Control),可提供進一步的保護。在RHEL 7中,此概念的MAC實現就是安全增強型Linux(Security-Enhanced Linux, SELinux)。Red Hat希望考生在考試過程把SELinux置于活動狀態。因此我們要分析如何設置強制模式,修改文件上下文,使用布爾型參數以及診斷受到破壞的SELinux策略。
如果現在使用的系統是安裝過程創建的默認安裝,則在本章中需要安裝額外的程序包。如果可以使用網絡安裝,則讀取這個程序包的名字并把yum install命令應用到這個程序包上。例如,為查看基于GUI的防火墻配置工具,需要用下面的命令安裝這個工具:
# yum install firewall-config
有關此程序包安裝過程的更多信息,請閱讀第7章的內容。
考試內幕
基本的文件權限
在Linux中,安全始于文件的權限。由于在Linux中任何東西都可以定義為文件,因此安全從文件開始確實是一個很好的想法。不管如何,在Red Hat認證目標中有關安全的概念一旦理解后就很簡單:
● 顯示、設置和修改標準的ugo/rwx權限
● 診斷和糾正文件權限問題
Linux文件的標準權限是為用戶(users)、組(groups)和其他用戶(others)定義的,這些導致了ugo,它們的權限就是文件的讀(read)、寫(write)和執行(execute),這些定義了rwx權限。我們把這些權限定義為自主訪問控制,與本章也將討論的強制訪問控制系統即SELinux相對應。
訪問控制列表
可以將訪問控制列表配置為覆蓋和擴展基本的文件權限。例如,利用訪問控制列表,我們可以在自己的主目錄中建立一個文件,該主目錄只允許有限的幾個其他用戶和組讀取它。相關的RHCSA認證目標是:
● 創建和管理訪問控制列表(ACL)。
防火墻控制
在Linux中配置后,防火墻允許某些端口通過而阻止其他所有端口通過。此外,防火墻還可以用于從多個方面控制通信流量,但這屬于RHCE的考試內容。相關的RHCSA認證目標是:
● 用firewall-config、firewall-cmd或iptables配置防火墻參數。
Secure Shell Server
在前言中已經介紹過,SSH服務是一個需要重點關注的地方。相關的RHCSA認證目標為:
● 為SSH配置基于密鑰的驗證
對于基于密鑰的驗證,可使用私鑰/公鑰對登錄到遠程系統。不再需要通過網絡進行口令的傳輸。這種驗證使用的1024或更多位口令要比通過網絡傳輸的口令更難破解得多。
安全增強型Linux
我們沒有辦法避開它!在Red Hat考試中考生必須面對SELinux。除非能夠用SELinux配置一些服務,否則不能保證你們能通過Red Hat考試。為了幫助考生掌握必須要掌握的內容,Red Hat分解了與SELinux有關的認證目標。第一個認證目標是SELinux基礎,因為它涉及SELinux在一個系統上的三個模式(強制模式/許可模式/禁用模式):
● 給SELinux設置強制模式/許可模式。
另一個認證目標要求考生理解為文件和進程定義的不同SELinux上下文。雖然用到的命令都比較簡單,但是在Linux可用的上下文就像服務那樣眾多:
● 顯示和確認SELinux文件和進程上下文。
在測試不同的SELinux上下文時,錯誤總是會發生的。讀者也許記不得與重要目錄有關的默認上下文。但如果用正確的命令不需要記住全部內容,正如下面的認證目標所表示的那樣,恢復為默認的上下文是一件相當容易的事:
● 恢復文件默認的上下文。
下一個認證目標看起來比較復雜。但是與SELinux有關的布爾型參數都有一個描述性的名字。可以使用更優秀的工具來進一步顯示這些可用的布爾型上下文。從本質上說,這意味著在SELinux下運行一個特定的服務,所要做的就是打開一個(或更多)布爾型參數(而不需要直接修改SELinux的策略規則):
● 使用布爾型參數來修改系統SELinux設置。
當SELinux工作后,應該監視系統上發生的違反策略的行為。錯誤地進行配置或者未經授權的侵入都會違反策略。因此,為了最大限度地利用SELinux,應該知道如何審核違反策略的行為,并能夠解決常見的問題。相關的RHCSA目標是:
● 診斷和解決常見的違反SELinux策略的行為。
- Persistence in PHP with the Doctrine ORM
- WordPress Mobile Web Development:Beginner's Guide
- 混沌工程:復雜系統韌性實現之道
- Learning Magento 2 Administration
- Learning Continuous Integration with Jenkins(Second Edition)
- Linux內核API完全參考手冊(第2版)
- Linux內核修煉之道
- Windows網絡編程(第2版)
- openEuler操作系統核心技術與行業應用實踐
- Responsive Web Design by Example:Beginner's Guide(Second Edition)
- 鴻蒙應用開發實戰
- STM32庫開發實戰指南:基于STM32F103(第2版)
- OpenStack從零開始學
- Azure DevOps Server 2019 Cookbook(Second Edition)
- INSTANT Axure RP Starter