官术网_书友最值得收藏!

第4章 RHCSA級的安全選項

Linux安全是從“自主訪問控制(Discretionary Access Control, DAC)”這個概念開始的。自主訪問控制涉及文件和目錄的權限和所有權。通過使用特殊的位,包括訪問控制列表(Access Control List, ACL),權限可以比簡單的user/group/other分類更加精細。這些訪問控制列表把權限分配給某些特定的用戶或組,覆蓋了標準的權限,允許為指定的文件或目錄設置更加精細的訪問規則。

此外,安全領域的另一個概念是防火墻。本章討論iptables服務(這是RHEL 6中的默認防火墻)和新的防火墻守護進程,后者支持不同的信任區域。本章將介紹如何使用firewall-config圖形實用工具和firewall-cmd命令工具來允許或阻止通過firewalld的服務。

大部分Linux系統上都安裝了SSH服務。這是登錄到一臺機器上非常常用的一個服務,所以各地的黑帽黑客都希望找到SSH的弱點。因此,本章還將介紹如何為SSH使用基于密鑰的驗證來提高安全性。

通過另一個安全概念即強制訪問控制(Mandatory Access Control),可提供進一步的保護。在RHEL 7中,此概念的MAC實現就是安全增強型Linux(Security-Enhanced Linux, SELinux)。Red Hat希望考生在考試過程把SELinux置于活動狀態。因此我們要分析如何設置強制模式,修改文件上下文,使用布爾型參數以及診斷受到破壞的SELinux策略。

如果現在使用的系統是安裝過程創建的默認安裝,則在本章中需要安裝額外的程序包。如果可以使用網絡安裝,則讀取這個程序包的名字并把yum install命令應用到這個程序包上。例如,為查看基于GUI的防火墻配置工具,需要用下面的命令安裝這個工具:

        # yum install firewall-config

有關此程序包安裝過程的更多信息,請閱讀第7章的內容。

考試內幕

基本的文件權限

在Linux中,安全始于文件的權限。由于在Linux中任何東西都可以定義為文件,因此安全從文件開始確實是一個很好的想法。不管如何,在Red Hat認證目標中有關安全的概念一旦理解后就很簡單:

● 顯示、設置和修改標準的ugo/rwx權限

● 診斷和糾正文件權限問題

Linux文件的標準權限是為用戶(users)、組(groups)和其他用戶(others)定義的,這些導致了ugo,它們的權限就是文件的讀(read)、寫(write)和執行(execute),這些定義了rwx權限。我們把這些權限定義為自主訪問控制,與本章也將討論的強制訪問控制系統即SELinux相對應。

訪問控制列表

可以將訪問控制列表配置為覆蓋和擴展基本的文件權限。例如,利用訪問控制列表,我們可以在自己的主目錄中建立一個文件,該主目錄只允許有限的幾個其他用戶和組讀取它。相關的RHCSA認證目標是:

● 創建和管理訪問控制列表(ACL)。

防火墻控制

在Linux中配置后,防火墻允許某些端口通過而阻止其他所有端口通過。此外,防火墻還可以用于從多個方面控制通信流量,但這屬于RHCE的考試內容。相關的RHCSA認證目標是:

● 用firewall-config、firewall-cmd或iptables配置防火墻參數。

Secure Shell Server

在前言中已經介紹過,SSH服務是一個需要重點關注的地方。相關的RHCSA認證目標為:

● 為SSH配置基于密鑰的驗證

對于基于密鑰的驗證,可使用私鑰/公鑰對登錄到遠程系統。不再需要通過網絡進行口令的傳輸。這種驗證使用的1024或更多位口令要比通過網絡傳輸的口令更難破解得多。

安全增強型Linux

我們沒有辦法避開它!在Red Hat考試中考生必須面對SELinux。除非能夠用SELinux配置一些服務,否則不能保證你們能通過Red Hat考試。為了幫助考生掌握必須要掌握的內容,Red Hat分解了與SELinux有關的認證目標。第一個認證目標是SELinux基礎,因為它涉及SELinux在一個系統上的三個模式(強制模式/許可模式/禁用模式):

● 給SELinux設置強制模式/許可模式。

另一個認證目標要求考生理解為文件和進程定義的不同SELinux上下文。雖然用到的命令都比較簡單,但是在Linux可用的上下文就像服務那樣眾多:

● 顯示和確認SELinux文件和進程上下文。

在測試不同的SELinux上下文時,錯誤總是會發生的。讀者也許記不得與重要目錄有關的默認上下文。但如果用正確的命令不需要記住全部內容,正如下面的認證目標所表示的那樣,恢復為默認的上下文是一件相當容易的事:

● 恢復文件默認的上下文。

下一個認證目標看起來比較復雜。但是與SELinux有關的布爾型參數都有一個描述性的名字。可以使用更優秀的工具來進一步顯示這些可用的布爾型上下文。從本質上說,這意味著在SELinux下運行一個特定的服務,所要做的就是打開一個(或更多)布爾型參數(而不需要直接修改SELinux的策略規則):

● 使用布爾型參數來修改系統SELinux設置。

當SELinux工作后,應該監視系統上發生的違反策略的行為。錯誤地進行配置或者未經授權的侵入都會違反策略。因此,為了最大限度地利用SELinux,應該知道如何審核違反策略的行為,并能夠解決常見的問題。相關的RHCSA目標是:

● 診斷和解決常見的違反SELinux策略的行為。

主站蜘蛛池模板: 绥棱县| 定州市| 阿坝县| 武穴市| 长白| 苏州市| 天气| 上虞市| 察雅县| 古交市| 庆安县| 霸州市| 深州市| 闽清县| 兴安县| 柞水县| 玉龙| 鹤庆县| 海淀区| 四平市| 尚义县| 苏尼特左旗| 微山县| 怀宁县| 康平县| 旅游| 水富县| 牡丹江市| 九台市| 从化市| 姜堰市| 西宁市| 桃江县| 陵水| 澄迈县| 泰安市| 运城市| 六安市| 鄂温| 绿春县| 许昌市|