4.7 應試要點

下面是本章與認證目標有關的幾個重要知識點。

基本的文件權限

● 標準的Linux文件權限是讀、寫入和執行，這些權限對于用戶所有者、組所有者和其他用戶則有所不同。

● 特殊權限包括SUID、SGID和粘滯位。

● 默認的用戶權限是由umask的值決定的。

● 所有者和權限可以用chown、chgrp和chmod命令修改。

● 用lsattr命令可以顯示特殊文件屬性，而用chattr可以修改這些屬性。

訪問控制列表及其他

● 在用acl選項掛載的文件系統中，可以顯示和修改文件的ACL。在RHEL 7上創建的XFS和ext4文件系統默認啟用此選項。

● 每個文件都有ACL，它們由標準的所有權和權限來決定。

● 可以在文件上配置ACL以取代指定用戶和組在選定文件上的所有權和權限。實際的ACL可能由屏蔽位決定。

● 僅一個文件的自定義ACL是不夠的，選定的用戶和組也需要訪問包含這些文件的目錄。

● 正如自定義ACL支持特定用戶的特殊訪問，它也可以拒絕對其他用戶的訪問。

● 在共享的NFS目錄上可以配置ACL。

基本的防火墻控制

● 標準的Linux防火墻基于Netfilter內核系統和iptables工具。

● 標準的Linux防火墻假定使用/etc/serivces文件中列出的一些端口和協議。

● 默認的RHEL 7防火墻支持遠程系統對本地SSH服務器的訪問。

● RHEL 7防火墻可以用GUI firewall-config工具來配置，也可以通過基于控制臺的firewall-cmd命令進行配置。

使用基于密鑰的驗證保護SSH

● SSH配置命令包括ssh-keygen和ssh-copy-id。

● 用戶主目錄中包含自己的．ssh子目錄，其中包含配置文件，且有使用口令短語保護的私有和公共的SSH密鑰。

● 使用ssh-keygen命令，可用口令短語配置私鑰/公鑰對。

● 使用ssh-copy-id命令，可將公鑰傳輸到用戶在遠程系統上的主目錄。

安全增強型Linux入門

● 可以把SELinux配置為強制模式、許可模式和禁用模式，每個模式通過setenforce命令設置目標策略和MLS策略。默認的引導設置存儲在/etc/selinux/config文件中。

● 用semanage login命令可以設置SELinux的user選項。

● SELinux標簽保護不同的上下文，例如用戶、角色、類型和MLS安全級。

● SELinux中的布爾型參數可以用setsebool命令來管理，永久性修改需要用-P選項。

● 用chcon命令可以修改SELinux上下文，用restorecon命令可以恢復默認值。

● sealert命令和SELinux故障排除瀏覽器可以用來解釋記錄在audit.log文件中的故障。此文件保存在/var/log/audit目錄中。