linux安全之服务安全

SElinux

访问控制分类

 DAC自主访问控制不安全，用户可以利用进程进行恶意提权，就比如回家过年，有些人在公司只不过是普通员工，但是却和别人说自己是经理。

MAC强制访问控制，SElinux使用的就是这种访问控制。例如之前的人情社会和现在的法治社会，假设进程就是root用户，但是无法随意去提权。SElinux不但控制进程的端口，还控制进程使用的文件。所以开启SElinux比防火墙出现的问题都多。

SElinux介绍

selinux默认开启强制访问控制

vim /etc/selinux/config

 

 

 SELinux策略模式设置

get  set之后必须重启 reboot 

只要后面有.  不管策略是什么，selinux都是开启的

 

 非交互式速度快sed -ri

网络ping不通的时候可以试试看在vim /etc/resolv.conf
加上dns    nameserver dns

 

 修改之后会报403，没有权限访问，是因为改目录不符合selinux的规则

 wget是下载网站资源

vim /etc / services  服务配置文件可以查看各服务的端口号

selinux控制了各服务的端口号，不能修改

apache的端口号就是8080 无法修改

 

 setenforce 0 是设置selinux = Permissive

只有重启之后才会生效reboot

SElinux
selinux类型:Enforcing,Permissive, Disabled
Enforcing:既阻止用户的违规行为，同时对违规行为作日志记录

Permissive:不对违规行为作阻止，只记录日志
Disabled: SElinux不开启，不记录日志

公钥加密/非对称加密

加密和解密使不用的同钥匙，一般是公钥加密，私钥解密

优点︰解决了密钥传递的问题
缺点︰效率低，加密速度慢，比对称加密速度慢1000倍，只能加密少量数据

非对称加密算法:RSA,DSA
ssh-keygen -t dsa  用于容器

单向加密
只能单向加密，不可逆

Hash算法: md5,sha1

对称加密oppenssl

CA证书
 

权威认证中心根据申请人发布的安全证书

HTTP转HTTPS  超文本传输协议
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer )，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。
 

ssL : (Secure Socket Layer)安全套接字层，通过一种机制在互联网上提供密钥传输其主要目标是保证两个应用间通信数据的保密性和可靠性,可在服务器端和用户端同时支持的一种加密算法

 客户端访问服务器请求会话，

服务端将自己的CA证书发给了客户端，CA证书里面有公钥

客户端就会用浏览器存放的CA的根证书检查客户端证书真伪，如果对，使用CA证书中的公钥解密，得到CA的公钥；然后生成  对称的加密密钥，用客户端的公钥加密之后发给服务器CA

最后客户端使用私钥解密，得到对称的加密密钥，使用对称加密密钥来进行安全快速传输数据

 客户端会通过浏览器对比CA证书和机构的是否一致

生成环境中免费的ssl加密证书只能去阿里云申请，只能对域名进行保护

也就是客户端如果没有证书，是无法访问到域名和ip的