0122 ssh和selinux

mdadm,md
iptables/netfilter
ip


telnet,ftp,pop3，etc 密码信息明文传输
sendmail，NFS,NIS,etc 信息明文传输
rsh,rcp,etc 明文认证


两个随机数生成器（字符设备）
{/dev/random
/dev/urandom
}
从商池中提取随机数据


md5 128定长输出 强加密，256位
sha1 安全的哈希算法 160定长输出


tripwire linux上加密软件（自己了解）



对称加密
3DES
AES


非对称，公钥
RSA
EIGamal



密钥分发

ike:
DH，现在常用的机制



数字签名



CA证书颁发机构


SSL :security socket layer
TSL: Transport layer security
openssl
libcrypto:本地加密加密库
libssl：网络加密解密库
openssl:



http:80
https:443



x.509 证书格式


OpenCA 能管理大量证书



证书名字 .pem后缀


吊销证书步骤：
openssl ca -reovk 0.1.crt 吊销证书
openssl ca -gencrl -out my.crl



下午：openssh服务
ssh:secure shell


软件包rpm：
openssh:scp,ssh-keygen
openssh-clients:ssh,slogin,ssh-agent,sftp

openssh-askpass 字符界面
openssh-askpass-gnome gnome界面
上面的是客户端必备的

服务器还需要openssh-server



openssh服务依赖openssl中的几个库文件


Authentication：
password
RSA/DSA 密钥认证
不用输入密码登陆远程主机：

{
#ssh-keygen -t rsa
~/.ssh/id_rsa
~/.ssh/id_rsa.pub


#ssh-copy-id -i ~/.ssh/id_rsa user@remote_host

#ssh user@remote_host
}
登陆到对方的主机后，会在自己机子上存放密钥信息，文件为
/root/.ssh/known_hosts




本地存放私钥
服务器存放公钥


C/S模式
配置文件
client：/etc/ssh/ssh_config
server: /etc/ssh/sshd_config

servce sshd start|stop|status|restart



vim /etc/motd 本文件内容可在登陆是显示给用户






ssh端口端口只支持tcp
-L本地转发
-R远端转发


{

本地主机图形界面
ssh -x 192.168.0.88
远程主机x11forward=yes

还可以打开对方的图形程序

}





SElinux ：Security Enhanced Linux

DAC -- > MAC
C2-->B1

DAC:Discretion Acess Control
MAC:Mandatory


ls -Z filename 查看安全上下文




getenforce查看是否打开了SElinux


vim /etc/selinux/config
vim /etc/sysyconfig/selinux

setenforce 1|0
1:enforcing级别
0:permissive级别



修改文件的标签
semanage fcontext -l 查看有多少类型


man chcon
-t type
-R
--reference




chcon -t etc_r fstab
chcon --reference=fstab httpd.crl

resorcon fstab 恢复默认类型




getsebool -a
getsebool -a | grep ssh
setsebool allow_ssh_keysign 1

setsebool -p allow_ssh_keysign 0 (-p持久有效)