linux及案例security安全第三天

NSDSecuritySELinux加密与应OpenSSL及服LinuxSELinuxenforcing在SELinux启用状态下，调整策略打开vsftpd服务的上传从 下移动一个包文件到FTP，调整策略使其能够被固定配置：修改/etc/selinux/configSELINUXenforcing[root@svr5~]#vim临时配置：使用seten命SELinuxdisabled1）步的配置重启系统；如果是permissive则使用seten命令修改为enforcing即可：[root@svr5~]#[root@svr5~]#seten //或者seten[root@svr5~]#[root@svr5~]#yum–yinstall..[root@svr5~]#vim [root@svr5~]#chownftp[root@svr5~]#servicevsftpdvsftpdvsftpd：在targeted策略的布尔值设置中，默认FTP写入和完全[root@svr5~]#ls>[root@svr5~]#ftp[root@svr5~]#ftp..Name(:root):331Pleasespecifythe230LoginRemotesystemtypeisUsingbinarymodetotransferftp>cd250Directorysuccessfullyftp>put local:test.txtremote:227EnteringPassiveMode553Couldnotcreate ftp>221[root@svr5~]#getseboola|grep allow_ftpd_anon_write-->allow_ftpd_full_access-->..[root@svr5~]#setsebool-P [root@svr5~]#setsebool-P[root@svr5~]#getseboola|grep allow_ftpd_anon_write-->allow_ftpd_full_access-->再 [root@svr5~]#ftp..Name(:root):331Pleasespecifythe230LoginRemotesystemtypeisUsingbinarymodetotransferftp>cd250Directorysuccessfullyftp>put local:test.txtremote:227EnteringPassiveMode150Oktosend226Transfer 237bytessentin6.3e-05secs(3761.90ftp>221步骤三：从 下移动一个包文件到FTP，调整文件的安全上下 [root@svr5~]#setsebool[root@svr5~]#getseboolallow_ftpd_full_access-->由root用户创建两个测试压缩包，一个直接建立到/var/ftp/ [root@svr5~]#tarzcf/var/ftp/d1.tar.gz[root@svr5~]#tarzcfd2.tar.gz[root@svr5~]#mvd2.tar.gz[root@svr5~]#ls-lh-rw-r--r1rootroot13K81610:16-rw-r--r1rootroot13K81610:16FTP使用wget命令分别这两个包文件，第二个包将会失败（看不到文件）[root@svr5~]#wget..3.==>PASVRETRd1.tar.gz..2013-08-1610:36:16(235MB/s)d1.tar.gz”[root@svr5~]#wget..9.==>PASVRETRd2.tar.gz10.“d2.tar.gz”[root@svr5~]#ls-Z-rw-r--r--.rootrootunconfined_u:object_r:public_content_t:s0-rw-r--r--.rootrootunconfined_u:object_r:admin_home_t:s0[root@svr5~]#chcon-tpublic_content_t[root@svr5~]#ls-Z-rw-r--r--.rootrootunconfined_u:object_r:public_content_t:s0/var/ftp/d2.tar.gz[root@svr5~]#wget..10.PASVRETRd2.tar.gz长度：13124(13K)..2013-08-1610:42:21(178MB/s)d2.tar.gz”加密与应MD5使用GPG实现文件性保护，加密和操GPGRHEL6svr5pc205件签名发布用机，如图-1MD5[root@svr5~]#vim[root@svr5~]#cpfile1.txt[root@svr5~]#catfile1.txt>[root@svr5~]#md5sum f3536 f3536 f3536[root@svr5~]#echo"x">>[root@svr5~]#md5sum6be3efe71d8b4b1ed34ac45f4edd2ba7 f3536 f3536步骤二：使用GPG对称保护文[root@svr5~]#gpg-c..根据提示依次输入两次即可。如果是在GNOME桌面环境，设置的交互界面会是弹出的窗口程序，如图-2图图-根据提示输入两次口令，加密后的文件（.gpg）就生成了，传递过程中只要发送加密的文件（比如file2.txt.gpg）就可以了。[root@svr5~]#filefile2.txt:ASCIIfile2.txt.gpg: [root@pc205~]#head-1 //未查看显示为乱X▒n▒-E▒▒0▒▒▒7>0-[root@pc205~]#gpg-dfile2.txt.gpg> //后保gpg:3DES gpg:以1个加gpg:[root@pc205~]#cat 步骤三：使用GPG非对称保护文 gpggen-key[UserB@pc205~]$gpg--gen-gpg(GnuPG)2.0.14;Copyright(C)2009SoftwareFoundation,Thisissoftware:youaretochangeandredistributeThereisNOWARRANTY,totheextentpermittedbylaw.(1)RSAandRSA(2)DSAand(3)DSA(4)RSA您的选择 RSA10244096 204816.0<n>n<n>wn<n>mn<n>yn 密钥不会过 YouneedauserIDtoidentifyyourkey;thesoftwareconstructstheuserfromtheRealName,CommentandAddressinthis"HeinrichHeine(DerDichter)真实注释：User“UserB(UserB)< can'tconnectto`/home/UserB/.gnupg/S.gpg-agent':gpg:421C9354gpg:gpg:31，PGPgpg:010：0-pub2048R/421C93542013-08-密钥=8A276FB51315CEF8D8A0A65BF0C97DA6421CuidUserB(UserB) sub2048R/9FA3AD252013-08-[UserB@pc205~]$gpglist- pub2048R/421C93542013-08-uidUserB(UserB) sub2048R/9FA3AD252013-08-[UserB@pc205~]$gpg--list-secret- sec2048R/421C93542013-08-uidUserB(UserB) ssb2048R/9FA3AD252013-08-[UserB@pc205~]$gpg-a--exportUserB>[UserB@pc205~]$ftp..Name(:UserB):331Pleasespecifythe230LoginRemotesystemtypeisUsingbinarymodetotransferftp>cd250Directorysuccessfullyftp>lcdLocaldirectorynowftp>put local:UserB.pubremote:227EnteringPassiveMode150Oktosend226Transfer1719bytessentin0.000127secs(13535.43ftp>221gpgimport[UserA@svr5~]$gpg--importgpg:密钥421C9354：公钥“UserB(UserB) gpg:gpg:：1(RSA[UserA@svr5~]$echo"Iloveyou.">[UserA@svr5~]$gpg-e-rUserBpub2048R/9FA3AD252013-08-16UserB(UserB) 主钥：8A276FB51315CEF8D8A0A65BF0C97DA6421C：08EA5D11FB259AF181370E47AD13F31B9FA3yes [UserA@svr5~]$[root@svr5~]#cphome/UserA/tosend.txt.gpgvar/ftp/tosend.txt.gpg4）接收方UserB收取加密文件，以自己的私钥文件[UserB@pc205~]$wget2013-08-1615:28:30(40.8MB/s)“tosend.txt.gpg”[UserB@pc205~]$gpg-dtosend.txt.gpg>您需要输入，才能解开这个用户的私钥：“UserB(UserB) 2048位的RSA密钥，号9FA3AD25，建立于2013-08-16(主号can'tconnectto`/home/UserB/.gnupg/S.gpg-agent':gpg:由2048位的RSA密钥加密，号为9FA3AD25、生成于2013-08-“UserB(UserB) [UserB@pc205~]$cat Iloveyou ，[UserB@pc205~]$tarzcftools-1.2.3.tar.gz [UserB@pc205~]$gpgbtools- [UserB@pc205~]$ls-lhtools-1.2.3.tar.gz*-rw-rw-r1UserBUserB17081721:18tools--rw-rw-r1UserBUserB28781721:22tools--rw-rw-r1UserBUserB1.7K81721:26[UserB@pc205~]$[root@pc205~]#yum-yinstall[root@pc205~]#cp/home/UserB/tools-1.2.3.tar.gz*[root@pc205~]#cp/home/UserB/UserB.pub[root@pc205~]#servicevsftpdvsftpdvsftpd：1.~]#2...3.2013-08-(31.7MB/s)“tools-1.2.3.tar.gz”4.2013-08-(23.3MB/s)“tools-1.2.3.tar.gz.sig”5.~]#6...7.2013-08-(208MB/s)UserB.pub”[root@svr5~]#gpgimport ..[root@svr5~]#gpg--verifytools-1.2.3.tar.gz.sigtools-gpg:于2013年08月17日星期六21时22分15秒CST创建的签名，使用RSA，gpg:完好的签名，来自于“UserB(UserB) ..使用OpenSSL加密/文搭建企业自有的CA服务器，为颁发数字提供基础环使用两台RHEL6虚拟机，其中svr5作为CA数字服务器，而pc205作为测试用客户机，如图-4图-1）f1.txt，openssldes3f1.txt.enc。[root@svr5~]#rpmqiopenssl [root@svr5~]#head-2Name:opensslRelocations:(notVersion:1.0.0Vendor:RedHat,[root@svr5~]#opensslenc-des3-e-inf1.txt-outenterdes-ede3-cbcencryption Verifyingenterdes-ede3-cbcencryption [root@svr5~]#filef1.txt:UTF-8UnicodeEnglishf1.txt.enc: 2）文[root@svr5~]#head-2Salted[root@svr5~]#opensslenc-des3-d-inf1.txt.enc-outf1-enterdes-ede3-cbcdecryption //输入口[root@svr5~]#head-2f1- Name:opensslRelocations:(notVersion:1.0.0Vendor:RedHat,CA修改OpenSSL的主配置文件位于/etc/p [root@svr5~]#vim ..[CA_defaultdir= certs= crl_dir= database= =$dir/my-ca.key //CA服务器根文serial= ..private_key$dir/private/my- [req_distinguished_name countryName=CountryName(2lettercountryName_default stateOrProvinceName=StateorProvinceName(fullstateOrProvinceName_default localityName=LocalityName(eg,localityName_default 0.organizationName=OrganizationName 0.organizationName_default=TarenaTechnology//所在单位/组织默认CA配置 [root@svr5~]#cd[root@svr5CA]#touch [root@svr5CA]#echo01 [root@svr5~]#cd[root@svr5private]#opensslgenrsa-des32048>my-GeneratingRSAprivatekey,2048bitlong eis65537Enterpass VerifyingEnterpass [root@svr5private]#od600my-[root@svr5private]#ls-lmy--rw1rootroot17518614:12my-此根将提供给所有客户企业及个人，用来验证持有者的合份。请求识别信息会根据第1）步设置的自动，但通用名称、邮箱地址需要手动指定。[root@svr5private]#opensslreq>-new-x509-keymy-ca.key-days365>../my-Enterpassphraseformy- Youareabouttobeaske