Linux内核配置(17)

[] NSA SELinux Support

NSA SELinux支持

美国国家安全局(NSA)开发的安全增强Linux(SELinux)

需要一个规则选项和一个已标识的文件系统。

可以获取规则编译器(checkpolicy)，一个用于标识文件系统的实用工具(setfiles)，和一些配置的例子

[] NSA SELinux boot parameter

NSA SELinux启动参数

添加一个内核引导参数以允许在引导时使用'selinux=0'禁用SELinux或'selinux=1'启用SELinux

这个目的是允许一个单独的内核镜像能够在发布时嵌入SELinux，但是也不一定需要。

若不清楚，可选N

(1) NSA SELinux boot parameter default value (NEW)

NSA SELinux启动参数默认值

[] NSA SELinux runtime disable

NSA SELinux运行时禁止

这个选项允许在一个SELinux文件节点中写入disable值，它使得系统在载入规则之前，禁止SELinux运行。SELinux将一直保持禁止状态，直到下次系统启动。这个选项有点类似于selinux=0启动参数，但是支持在运行时禁止SELinux，比如从/sbin/init中实现，这样是为了在不同平台中的更好的可移植性，因为有的地方用启动参数很难实现。

[] NSA SELinux Development Support (NEW)

SELinux开发支持

这里是SELinux开发支持的选项。它对于测试SELinux和开发规则非常有用。如果不清楚，选Y。内核将以宽容模式启动（记录所有东西，不拒绝任何东西），除非你在内核命令行中指定enforcing=1。你可以通过/selinux/enforce自由地在宽容模式和严格模式中切换（只要是规则允许）。

[] NSA SELinux AVC Statistics (NEW)

NSA SELinux AVC 统计

搜集存取向量(access vector)缓冲区的统计信息并在/selinux/avc/cache_stats中显示出来.这些信息可以用avcstat之类的工具查看

(1) NSA SELinux checkreqprot default value (NEW)

NSA SELinux checkreqprot标志的默认值

这个选项为checkreqprot标记设置默认值。这个标记的作用是决定SELinux通过程序还是通过内核响应进行安全检查（包含所有的隐含可执行文件，只读－隐含－可执行），这一检查通过mmap和mprotect调用实现。如果这个值设置为0，SELinux将通过内核响应进行安全检查。如果这个值设置为1， SELinux将通过程序响应进行安全检查。checkreqprot标记可以在checkreqprot=启动参数中修改默认值。它同样可以在系统运行时通过/selinux/checkreqprot修改，只要规则允许。

若不清楚，推荐1

[] NSA SELinux maximum supported policy format version

NSA SELinux最大支持的协议格式版本

这个选项允许设置NSA SELinux最大支持的协议格式版本个数。这个值在用户空间通过/selinux/policyvers反映，并且在协议载入时使用。它可以向下调整，以支持老的用户空间，这些老的空间不能正确地处理内核和支持更新的协议版本。

举例：Fedora Core 3和4版本的发布版本，允许这个选项和通过下个选项进行设置相关值。和以后的版本，Fedora Core 5将不需要这个选项。

若不清楚，可选N

(19) NSA SELinux maximum supported policy format version value (NEW)

支持的最高策略格式版本的数值

[] Simplified Mandatory Access Control Kernel Support

简化强制访问控制内核支持

这里选择简化强制访问控制内核Smack。Smack对于敏感的、完整的和各种

其他强制安全构架非常有用。

若不清楚，可选N

[] TOMOYO Linux Support

(2048) Default maximal count for learning mode (NEW)

(1024) Default maximal count for audit log (NEW)

[ ] Activate without calling userspace policy loader.

(/sbin/tomoyo-init) Location of userspace policy loader (NEW)

(/sbin/init) Trigger for calling userspace policy loader (NEW)

[] AppArmor support

(1) AppArmor boot parameter default value (NEW)

[] Digital signature verification using multiple keyrings

[] Integrity Measurement Architecture(IMA)

Default security module (SELinux) --->

(X) SELinux

( ) Simplified Mandatory Access Control

( ) TOMOYO

( ) AppArmor

( ) Unix Discretionary Access Controls

-*- Cryptographic API --->

提供核心的加密API支持.这里的加密算法被广泛的应用于驱动程序通信协议等机制中.子选项可以全不选,内核中若有其他部分依赖它,会自动选上

--- Cryptographic API

*** Crypto core or helper ***

-*- Cryptographic algorithm manager

密码算法管理

生成默认的密码模板范例。比如CBC加密算法。

<>Userspace cryptographic algorithm configuration

[] Disable run-time self tests (NEW)

{} GF(2^128) multiplication functions

<>Null algorithms

NULL加密算法(什么也不做),用于IPsec协议的封装安全载荷模块(ESP)

<>Parallel crypto engine (EXPERIMENTAL)

{} Software async crypto daemon

-*- Authenc support

Authenc支持

Authenc：为IPSec而整合封装的模式。这在IPSec中会用到。

<>Testing module

测试模块

快速和不正规的加密测试模块。

*** Authenticated Encryption with Associated Data ***

<>CCM support

<>GCM/GMAC support

{} Sequence Number IV Generator (NEW)

*** Block modes ***

-*- CBC support

{} CTR support (NEW)

<>CTS support

<>ECB support

{} LRW support

<>PCBC support

{} XTS support

*** Hash modes ***

-*- HMAC support

HMAC支持

HMAC：信息散列验证。IPSec需要用到这项功能

<>XCBC support

XCBC支持

XCBC：散列加密算法

<>VMAC support

*** Digest ***

<>CRC32c CRC algorithm

CRC32c CRC算法

循环冗余校验算法，被iSCSI和很多场合运用于数据校验。这个算法执行

Lib/libcrc32c，模块名为crc32c。

<>CRC32c INTEL hardware acceleration

{} GHASH digest algorithm (NEW)

<>MD4 digest algorithm

MD4信息摘要算法

老旧的摘要算法,已经过时

-*- MD5 digest algorithm

MD5信息摘要算法

在linux中可以用md5sum命令来校验

主流摘要算法,128位(已被中国山东大学王小云攻破,可以快速找到碰撞)

<>Michael MIC keyed digest algorithm

Michael MIC密钥摘要算法

Michael MIC用于TKIP，主要是为了保证信息的完整性。但是它在其他地方不是很常用，因为算法本身存在弱点。

<>RIPEMD-128 digest algorithm

<>RIPEMD-160 digest algorithm

<>RIPEMD-256 digest algorithm

<>RIPEMD-320 digest algorithm

-*- SHA1 digest algorithm

SHA1摘要算法

SHA-1安全散列标准

SHA-1安全散列标准是美国国家标准和技术局发布的国家标准FIPS PUB 180-1，一般称为SHA-1。其对长度不超过264二进制位的消息产生160位的消息摘要输出。SHA是一种数据加密算法，该算法经过加密专家多年来的发展和改进已日益完善，现在已成为公认的最安全的散列算法之一，并被广泛使用

主流摘要算法,160位(已被中国山东大学王小云攻破,可以快速找到碰撞),速度与MD5相当

{} SHA224 and SHA256 digest algorithm (NEW)

SHA224和SHA256摘要算法

SHA256安全散列标准（DFIPS 180-2）

这个版本执行256位的SHA散列，它包含128位安全标准，以应对冲突攻击。

这段代码也包含了SHA-224，包含112位安全标准的224位散列，以应对冲突攻击。

更好的摘要算法,256位,速度较SHA1稍慢

<>SHA384 and SHA512 digest algorithms

SHA384和SHA512摘要算法

SHA512安全散列标准（DFIPS 180-2）

这个版本执行512位的SHA散列，它包含256位安全标准，以应对冲突攻击。

这段代码也包含了SHA-384，包含192位安全标准的384位散列，以应对冲突攻击。

更好的摘要算法,384/512位,速度大约只有SHA1的40-50%

<>Tiger digest algorithms

<> Whirlpool digest algorithms

Whirlpool（漩涡）摘要算法

Whirpool512，384和256位的散列算法

Whirpool-512是较早的“尼斯湖”加密算法之一。它将被列入ISO/IEC标准。

最安全的摘要算法,512位,已被列入ISO标准,目前最新版本为3.0(2003年发布)

*** Ciphers ***

-*- AES cipher algorithms

AES（高级加密标准）加密算法

AES加密算法(FIPS-197)，它使用Rijndael算法。无论用于反馈系统还是非反

馈系统，Rijndael算法在硬件和软件中都有着好的表现，即便运用于大的运算环境。它的密钥生成时间非常优秀，而且密钥的灵活性很好。Rijndael在严格的环境中运行得非常好，这得益于它的内存需求量很低。在面对电路和计数器类型的攻击时，它的操作非常简单。

AES使用三种密钥长度：128、192、256位。

最佳的对称加密算法(Rijndael),128/192/256位,强度最高,快速且节省内存

{} AES cipher algorithms (i586)

最佳的对称加密算法(Rijndael),128/192/256位,强度最高,快速且节省内存(针对i586的版本)

<>AES cipher algorithms (AES-NI)

<>Anubis cipher algorithm

Anubis加密算法

Anubis使用可变的128至320位的密钥。它是尼斯湖竞赛的参赛者之一。

NESSIE（尼斯湖竞赛）是欧洲委员会的信息社会技术IST规划中所支持的一项工程，支持年限三年（2000.01至2002.12）投资33亿欧元。它对各种计算机加密算法分析性能指标及运行结果，并做出评价。

-*- ARC4 cipher algorithm

ARC4是一种加密流，使用的密钥从8位到2048位。这种算法主要运用于基于驱动器的WEP（详见下文），但是它在其他场合由于算法的弱点，不被广泛使用。

WEP-Wired Equivalent Privacy加密技术，WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

WEP是Wired Equivalent Privacy的简称，有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络。

802.11b标准里定义的一个用于无线局域网WLAN的安全性协议。WEP被用来提供和有线LAN同级的安全性。LAN天生比WLAN安全，因为LAN的物理结构对其有所保护，部分或全部网络埋在建筑物里面也可以防止未授权的访问。

经由无线电波的WLAN没有同样的物理结构，因此容易受到攻击、干扰。WEP的目标就是通过对无线电波里的数据加密提供安全性，如同端-端发送一样。WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。如果你的无线基站支持MAC过滤，推荐你连同WEP一起使用这个特性(MAC过滤比加密安全得多)。

<>Blowfish cipher algorithm

<>Camellia cipher algorithms

<>CAST5 (CAST-128) cipher algorithm

CAST5（CAST-128）对称加密算法

<>CAST6 (CAST-256) cipher algorithm

CAST6（CAST-256）对称加密算法

-*- DES and Triple DES EDE cipher algorithms

DES和多重DES EDE加密算法

<>FCrypt cipher algorithm

FCrypt加密算法

<>Khazad cipher algorithm

Khazad加密算法

Khazad是初始的NESSIE（尼斯湖）竞赛中的决赛算法。它针对64位处理器进行了优化，同时它在32位处理器也运行得很好。它使用128位的密钥。

<>Salsa20 stream cipher algorithm (EXPERIMENTAL)

Salsa20流加密算法

Sala20流加密算法是由eSTREAM（流加密工程项目）提出。它由Daniel J.Bernstein设计。

<>Salsa20 stream cipher algorithm (i586) (EXPERIMENTAL)

Salsa20流加密算法(i586)

用于586处理器的Sala20流加密算法。

<>SEED cipher algorithm

SEED（种子）加密算法

它采用128位的密钥块运算。这种算法由KISA（朝鲜信息安全机构）开发，并成为朝鲜共和国的国家标准算法。

{} Serpent cipher algorithm

<>Serpent cipher algorithm (i586/SSE2)

<>TEA, XTEA and XETA cipher algorithms

TEA，XTEA和XETA加密算法

TEA（小型加密算法）是一种简单的运算，它用于很多安全环境，它非常小巧，占用的内存很少。

XTEA（扩展小型加密算法）是TEA的升级，它改善了密钥的潜在弱点

XETA是XTEA的兼容模式，以便一些环境无法使用XTEA时使用。

<>Twofish cipher algorithm

Twofish加密算法

双鱼加密算法使用于计数窗格系统，它被研究者纳入AES（高级加密标准）的算法之一。它采用16个循环块加密的方式，支持的密钥长度有128、192、和256位。

<>Twofish cipher algorithms (i586)

Twofish加密算法

用于586处理器的双鱼加密算法。

*** Compression ***

<>Deflate compression algorithm

Deflate压缩算法

这是Deflate压缩算法（RFC1951），运用于IPCOMP协议下的IPSec。

如果你使用IPSec，那么你很有可能会需要它。

当在IPSec中使用IPCOMP协议时才需要

<>Zlib compression algorithm

<>LZO compression algorithm

LZO压缩算法

*** Random Number Generation ***

<>Pseudo Random Number Generation for Cryptographic modules

<>User-space interface for hash algorithms

<>User-space interface for symmetric key cipher algorithms

[] Hardware crypto devices (NEW) --->

硬件加密设备

选Y，你将能看到硬件加密设备和处理器的选项。这个选项本身不会增加任

何的内核代码。

--- Hardware crypto devices

<>Support for VIA PadLock ACE

VIA高级密码引擎锁支持

一些VIA处理器使用整合的加密引擘（所以叫做高级密码引擘），它提供非常快的密码指令操作，以支持各种加密算法。

<>PadLock driver for AES algorithm

VIA锁的AES算法锁驱动

<>PadLock driver for SHA1 and SHA256 algorithms

VIA锁的SHA1/SHA256算法驱动

<>Support for the Geode LX AES engine

Geodesic LX AES引擎支持

选Y，你将可以使用固化在AMD Geodesic LX处理器主板上的AES引擘来执行AES加密算法。

<>Driver HIFN 795x crypto accelerator chips

HIFN 795x加密加速芯片驱动

[] HIFN 795x random number generator

[] Virtualization --->

在这选Y，你将可以看到一些相关的选项，以便用你的linux主机通过虚拟机（客户）模式运行其他的操作系统。

我的系统已经运行在虚拟机中，不需要再支持虚拟化

--- Virtualization

<>Kernel-based Virtual Machine (KVM) support

基于内核的虚拟机（KVM）支持

通过硬件扩展，来实现主机完全地对客户机的虚拟化。你将需要一个不错的较新的处理器，上面配置有虚拟化扩展。你还需要在下面的选项选择輱个或者更多的处理器模块。

这些模块提供对硬件功能的访问权，这通过/dev/kvm中的一个设备节点字符来实现。

编译成模块为：kvm

<>KVM for Intel processors support

对Intel处理器的KVM支持

处理器上有VT扩展

<>KVM for AMD processors support

对AMD处理器的KVM支持

处理器上有AMD-V(SVM)扩展。

[] Audit KVM MMU

<>Host kernel accelerator for virtio net (EXPERIMENTAL)

<>Linux hypervisor example code

Linux高级伪装范例代码

这是非常简单的模块，允许你运行多重的linux内核实例。

Library routines --->

库子程序

仅有那些不包含在内核原码中的第三方内核模块才可能需要,可以全不选,内核中若有其他部分依赖它,会自动选上。会根据此前的优化自动调整，默认即可

<> CRC-CCITT functions

这个功能是为一些需要的模块而提供的，通常这些模块不是编译在内核之中。

传送8-bit字符，欧洲标准

<> CRC16 functions

16位CRC校验功能

这个功能是为一些需要的模块而提供的，通常这些模块不是编译在内核之中。

<> CRC calculation for the T10 Data Integrity Field

CRC计算T10数据完整域

这个选项只有在模块不处于内核树中，需要计算CRC检查时用到，它用于SCSI数据完整性子系统。

<> CRC ITU-T V.41 functions

这个功能是为一些需要的模块而提供的，通常这些模块不是编译在内核之中。

-*- CRC32 functions

32位CRC功能

这个功能是为一些需要的模块而提供的，通常这些模块不是编译在内核之中。

用于点对点的同步数据传输中,传输网络数据包所必须的

<> CRC7 functions

这个功能是为一些需要的模块而提供的，通常这些模块不是编译在内核之中。

<> CRC32c (Castagnoli, et al) Cyclic Redundancy-Check

用于点对点的同步数据传输中,比如iSCSI设备

<> CRC8 function

-*- XZ decompression support

<> XZ decompressor tester

[] Force CPU masks off stack

-*- Averaging functions

<> CORDIC algorithm