数据安全&超级守护进程

     数据安全：
     一.数据通信中的安全需求：1.数据完整性。2.用户身份得以验证。3.数据保密性
     二.常用数据安全解决：
       1.随机数生成：在linux系统中有两个随机数生成设备/dev/random，/dev/urandom。其中/dev/random通过记录用户的键盘击键间隔及磁盘的I/O时间间隔等信息来生成随机数，并存放在熵池中。/dev/urandom默认到/dev/random中去随机数，若熵池中数据被去完则会以软件方式生成随机数，从而避免默写调用随机数的程序因随机数不够而被打断执行。
       2.单项加密：要求：任意长度的输入会有定长的输出，初始条件的一点点改变会造成结果的巨大改变，整个加密过程是不可逆的。常用的加密算法有：md5(定长输出128为数据)，sha1(160bit)。
       3.对称加密：其加密和解密使用同一个密钥，不能用作身份验证，加密时把数据分割成相同大小的块，再进行加密。常用的算法有：DES,3DES,Blowfish,RC5,RC6,AES(其密钥可变长:128bit,192bit,256bit)
       4.非对称加密：用一对独一无二的密钥对数据进行加密，也解决了对称算法中的密钥分发的问题。其密钥长度可以为512bit,1024,2048等。也可以用作数字签名，算法有：RSA,DSA。
       5.PKI(Public Kery Infrustructures)，其核心是CA。IKE，用于解决密钥分发问题，算法有：DH
       6.SSL（Secure Sockets Layer），用于补充TCP/IP协议栈的安全性问题，属于一个半层协议，工作在应用层和传输层之间，对上层数据进行加密。与其功能相同的还有TLS(Transport Layer Security),其属于SSL的升级版。
       7.工具Openssl：包含两个库文件：libcrypto，libssl和命令行工具:openssl 。
        使用Openssl建立内部CA示例：
            说明：CA的工作目录为/etc/pki/CA ,配置文件为/etc/pki/tls/openssl.cnf。
            1)修改配置文件，是工作目录指向/etc/pki/CA
            2)生成私钥：#(umask 77;openssl genrsa 2048 > private/cakey.pem
            3)为自己颁发证书：#open req -new -x509 -key private/cakey.pem -out cacert.pem，并输入必要的基本信息。
            4)这样,CA就可以接受其他用户的申请，并颁发证书。需使用openssl中的ca子命令。
        8.SSH(Secure SHell),用于取代telnet的远程登录协议，默认监听TCP协议的23端口。同时，ssh可以为其他服务提供安全的隧道连接。ssh分为服务器端和客户端，其配置文件分别对应/etc/ssh/sshd_config,/etc/ssh/ssh_config。客户端用于提供ssh,slogin,ssh-agent,ssh-add,sftp等命令，服务器段提供sshd进程。
     Linux下的守护进程：xined
      1.系统中的那些不常使用的服务会使用超级守护进程xinetd实现调用。其主配置文件：/etc/xinetd.conf，包含/etc/xinetd.d/*。
        示例解释：/etc/xinetd.d/telnet
        service telnet
    {
        disable = no                    //表示服务已经开启
        flags           = REUSE        
        socket_type     = stream        //表示套接字格式，stream是TCP,dgram为udp
        wait            = no       //no表示为多线程服务，yes表示为单线程，用于并发连接请求。
        user            = root       //以root的身份运行此服务
        server          = /usr/sbin/in.telnetd  //定义有哪个进程起启动此服务，并接受用户访问
        log_on_failure  += USERID        //+=表示在默认规则上扩展显示。
        log_type        = FILE /tmp/telnet_log  //定义此服务日志的存储位置
        bind            = 192.168.0.24      //指定监听IP
        per_source      = 1            //指定同一IP允许向此服务最多打开的连接数
        access_times    = 08:00-19:30   //指定可以使用此服务的时间
        cps             = 100 2       //表示每秒最多可以有100个用户连接次服务，超出着等待2s重连
        only_from       = 192.168.0.0/25 //表示仅允许192.168.0.0/25网段的计算机连接次服务
   
        }