4.6 認證小結(jié)

本章主要介紹RHCSA級安全的基本內(nèi)容。在任何Linux系統(tǒng)中，安全是從文件的所有權(quán)和權(quán)限開始的。所有權(quán)可以分為用戶、組和其他用戶三類。根據(jù)自主訪問控制模式，權(quán)限可以分為讀、寫和執(zhí)行三個不同的權(quán)限。對于某一個用戶，文件的默認權(quán)限是由其umask的值決定。權(quán)限可由SUID、SGID和粘滯位進行擴展。

ACL給自主訪問控制增加另一層安全。在一個已掛載的卷配置好后，ACL經(jīng)過配置后可以取代基本的ugo/rwx權(quán)限。NSFv4共享目錄也可以包含ACL。

防火墻可以阻止通信通過，但是特定端口除外。大多數(shù)服務(wù)的標(biāo)準(zhǔn)端口都在/etc/services文件中被定義。然而，有些服務(wù)也可能不用這個文件中的任何一個協(xié)議。默認的RHEL 7防火墻只支持對本地SSH服務(wù)器的訪問。

ssh-keygen命令創(chuàng)建了用口令短語保護的密鑰對。使用這些密鑰對，不需要將用戶的口令在網(wǎng)絡(luò)上傳輸，就可以在SSH服務(wù)器上進行驗證。

SELinux用強制訪問控制提供了另一層的保護。由于存在各種不同的SELinux用戶、對象、文件類型以及MLS安全級，SELinux控制確保某一個服務(wù)存在的漏洞不會影響其他服務(wù)。