运维之监控与安全篇------2.SELinux安全防护、加密与解密

一、SELinux
1介绍linux安全保护模型：
： DAC（Discretionary Access control ）自主访问控制--所有者对自己的资源负责应用：9位权限码（rwx） ACL策略
： MAC（Mandatory Access control）强制访问控制--管理员对所有的资源负责应用：selinux 多级安全
Selinux是什么？MAC扩展模块美国国家安全局主导开发
运行机制：2.6集成到内核
2策略集：
：SELINUXTYPE=targeted 仅保护最常见的关键的网络服务软件包;selinux-policy selinux-policy-targeted libselinux-utils coreutils policycoreutils
：SELINUXTYPE=mls 提供多层次全方位的安全防御策略软件包：selinux-policy-mls mcstrans policycoreutils-newrole
3模式控制：
#sestatus #查看selinux状态
#getenforce #查看selinux状态
#setenforce 1/0 临时改变selinux配置
#vim /etc/selinux/conf #永久改变配置
SELINUX=disabled 以禁用
SELINUX=permissive 宽松/允许模式
SELINUX=enforcing 强制模式
selinux的类型： targeted MLS

4安全上下文的组成()
为文件/目录/设备标记访问控制属性
用户:角色:访问类型:选项...
查看安全上下文 -Z
查看进程 ps aux -Z | grep 进程名
ps -Z -C 进程名
查看文件 ls -Zd 目录名
查看目录 ls -Z 文件名
常见访问类型：
Bin_t 二进制执行文件
Etc_t 系统配置文件
Fsadm_exec_t 文件系统管理文件
Admin_home_t 管理员账户文件
User_hoem_t 普通用户的宿主文件
http_sys_content_t httpd网站内容
public_content_t #共享文件

5 启用selinux后遵循的一般规律
创建新文件或新目录，继承父目录的安全上下文
移动文件或目录，保持原有的安全上下文不变
拷贝文件或目录，继承目标目录的安全上下文

6 修改访问类型
#chcon -R -t 访问类型目录名
#chcon -t 访问类型文件名
#chcon -u -r 分别指定用户、角色
7. 恢复访问类型
# restorecon 文件名
#touch /.autorelabel 下次重启后全部重置

8实践操作验证（布尔值运用与chcon作用）

点击打开链接

#Yum -y install vsftpd
#yum -y install ftp
#Vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES //开启匿名访问
write_enable=YES
anon_umask=022
anon_upload_enable=YES //允许上传文件
anon_mkdir_write_enable=YES //允许上传目录
#chown ftp /var/ftp/pub
#systemctl restart vsftpd
#ls > test.txt
#ftp 192.168.4.20
Passwd:
ftp>cd pub
ftp>put test.txt #尝试上传测试文件
失败
Quit
调节布尔值：
selinux布尔值(功能开关)
查看布尔值 getsebool -a | grep -i 服务名
查看布尔值 getsebool -a
修改布尔值 setsebool -P 选项 on|off
setsebool -P 选项=1|0
*******************************************************************
#setsebool -P allow_ftpd_anon_write=1 //设置布尔值 *
#setsebool -P allow_ftpd_full_access=1 *
#getsebool -a |grep allow_ftpd //确认修改结果 *
********************************************************************
#allow_ftpd_anon_write --> on
#allow_ftpd_full_access --> on
#ftp 192.168.4.20
ftp>put test.txt #上传测试文件成功
Ok to send data
从/root目录下移动一个包文件到FTP下载目录，调整文件的安全上下文
关闭FTP布尔值allow_ftpd_full_access以便测试因为开启此项会扩大FTP目录的访问权限（忽略安全上下文），建议先将其关闭。
#tar -zcf /var/ftp/a1.tar.gz a.txt 在目录下创建
#tar -zcf a2.tar.gz a.txt #移动
#mv a2.tar.gz /var/ftp/
另一台虚拟机下载这两个文件
#wget ftp://192.168.4.10/a1.tar.gz 成功
#wget ftp://192.168.4.10/a2.tar.gz失败
#ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 /var/ftp/a1.tar.gz
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /var/ftp/a2.tar.gz
# chcon -t public_content_t /var/ftp/d2.tar.gz
#wget ftp://192.168.4.10/a2.tar.gz a2下载成功

9 查看selinux报错信息
[root@10 ~]# rpm -qa | grep setroubleshoot
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-3.2.24-1.1.el7.x86_64
setroubleshoot-server-3.2.24-1.1.el7.x86_64
#grep setroubleshoot /var/log/message | tail -1
#sealter -l 字符串
++++++++++++++++++++++++++++++++
二、数据加密与解密
1.传递风险：流量控制、电脑黑客、出差人员、离职人员、合作伙伴、商业间谍、高官习惯、开发人员
2. 加密？发送方：明文---密文
解密？接受方：密文---明文
算法？计算规则或算法
生活中邮寄信件；两张大小A4纸，一张写满文字故事，一张抠窟窿显示传达信息。
3.加密类型：
对称加密：加密解密用同一个密钥
：DES data Encryption standard
：AES Advaced Encryption Standard
非对称加密: (使用密钥对) 公钥加密私钥解密
: RSA Rives Shamirs Adleman
: DSA Digital Signature Algorithm

4.保护信息的完整性：
信息摘要：
常用的加密算法：Hash散列技术用于信息摘要（文本不同，摘要不同）
MD5，Message Digest Algorithm 5
SHA，Secure Hash Algorithm

5.检查校验值

#vim file1.txt
#cp file1.txt file2.txt
#cat file1.txt > file3.txt
#md5sum file?.txt //文件内容一致，则校验和也不变
#echo "x"md5sum file?.txt
# >> file1.txt
#md5sum file?.txt #检验和已经改变file1，file2与file2仍相同

6.GPG 非对称加密

非对称加密/解密文件时，发送方（UserA）以接收方（UserB）的公钥加密文件，接收方以自己的私钥解密
1.接收方UserB创建自己的公钥、私钥对，执行gpg --gen-key操作，根据提示选择并创建密钥：
2.[UserB@pc207 ~]$ gpg --gen-key
1.请选择您要使用的密钥种类：
2.(1) RSA and RSA (default)
3.(2) DSA and Elgamal
4.(3) DSA (仅用于签名)
5.(4) RSA (仅用于签名)
6.您的选择？ //直接回车默认(1)
7.RSA 密钥长度应在 1024 位与 4096 位之间。
8.您想要用多大的密钥尺寸？(2048) //接受默认2048位
9.您所要求的密钥尺寸是 2048 位
10.请设定这把密钥的有效期限。
11.0 = 密钥永不过期
12.<n> = 密钥在 n 天后过期
13.<n>w = 密钥在 n 周后过期
14.<n>m = 密钥在 n 月后过期
15.<n>y = 密钥在 n 年后过期
16.密钥的有效期限是？(0) //接受默认永不过期
17.密钥永远不会过期
18.以上正确吗？(y/n)y //输入y确
2.接收方UserB导出自己的公钥文件；用户的公钥、私钥信息分别保存在pubring.gpg和secring.gpg文件内
[UserB@pc207 ~]$ gpg --list-keys //查看公钥环
/home/UserB/.gnupg/pubring.gpg
[UserB@pc207 ~]$ gpg --list-secret-keys
/home/UserB/.gnupg/secring.gpg //查看私钥环
使用gpg命令结合--import选项将其中的公钥文本导出，传给发送方UserA：
[UserB@pc207 ~]$ gpg -a --export UserB > /tmp/UserB.pub
[UserB@pc207 ~]$ ftp 192.168.4.7
Name (192.168.4.7:UserB): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> lcd /tmp/
Local directory now /tmp
ftp> put UserB.pub //通过FTP将公钥传给发送方主机
local: UserB.pub remote: UserB.pub
227 Entering Passive Mode (192,168,4,6,59,39).
150 Ok to send data.
226 Transfer complete.
1719 bytes sent in 0.000127 secs (13535.43 Kbytes/sec)
ftp> quit
221 Goodbye.
3.发送方UserA导入接收方的公钥信息
使用gpg命令结合--import选项导入发送方的公钥信息，以便在加密文件时指定接收人来调用对应的公钥。
[UserA@svr7 ~]$ gpg --import /var/ftp/pub/UserB.pub
[UserA@svr7 ~]$ echo "I love you ." > tosend.txt
[UserA@svr7 ~]$ gpg -e -r UserB tosend.txt
[UserA@svr7 ~]$ exit
logout
[root@svr7 ~]# cp /home/UserA/tosend.txt.gpg /var/ftp/tosend.txt.gpg
4.接收方UserB收取加密文件，以自己的私钥解密文件
[UserB@pc207 ~]$ wget ftp://192.168.4.7/tosend.txt.gpg
[UserB@pc207 ~]$ gpg -d tosend.txt.gpg > tosend.txt
[UserB@pc207 ~]$ cat tosend.txt //获得解密后的文件内容
I love you .
***************************************
7.使用GPG实现软件包的完整性校验，检查软件包签名
1.在pc207上，作者UserB为软件包创建分离式签名，将软件包、签名文件、公钥文件一起发布给其他用户下载，。
[UserB@pc207 ~]$ tar zcf tools-1.2.3.tar.gz /etc/hosts //建立测试软件包
[UserB@pc207 ~]$ gpg -b tools-1.2.3.tar.gz //创建分离式数字签名
[UserB@pc207 ~]$ ls -lh tools-1.2.3.tar.gz* UserB.pub
-rw-rw-r--. 1 UserB UserB 170 8月 17 21:18 tools-1.2.3.tar.gz
-rw-rw-r--. 1 UserB UserB 287 8月 17 21:22 tools-1.2.3.tar.gz.sig
-rw-rw-r--. 1 UserB UserB 1.7K 8月 17 21:26 UserB.pub
[root@pc207 ~]# yum -y install vsftpd
[root@pc207 ~]# cp /home/UserB/tools-1.2.3.tar.gz* /var/ftp/
[root@pc207 ~]# cp /home/UserB/UserB.pub /var/ftp/
[root@pc207 ~]# service vsftpd start
2.在svr7上，下载软件包并验证官方签名。下载主机pc207发布的UserB的软件包、签名、公钥，导入UserB的公钥后即可验证软件包的完整性。
[root@svr7 ~]# wget ftp://192.168.4.207/tools-1.2.3*
[root@svr7 ~]# wget ftp://192.168.4.207/UserB.pub
[root@svr7 ~]# gpg --import UserB.pub //导入作者的公钥信息
[root@svr7 ~]# gpg --verify tools-1.2.3.tar.gz.sig tools-1.2.3.tar.gz

运维之监控与安全篇------2.SELinux安全防护、加密与解密相关推荐

运维之监控与安全篇------3.监控常用命令、 Nagios监控
准备一台新的主机配置要求如下:配置固定ip 192.168.4.11. 网络yum源.永久关闭firewalld和selinux. 下载软件包提供监控服务的软件:nagios cacti ...
零基础学Linux运维，看这一篇就够了（含30G自学教程笔记）
作为一个10年老运维,在开始这篇文章之前,先送给大家一句话: 干啥不好,非要做运维,听人劝,吃饱饭,趁年轻,换行吧! 好了,不开玩笑了,回到正文中来. 当谈到运维职业发展情况时,很多人都会说运维做不长 ...
【过关斩将】2020年互联网公司运维岗位面试题 -技能篇03
文章目录前言 zabbix面试 ELK面试关于上线流程关于 NOSQL面试 DNS面试题 docker面试题其他总结前言本文是2020年互联网公司运维岗位面试题 -技能篇的第三篇文章,对 ...
H5直播站点运维笔记四压测篇
H5直播站点运维笔记四压测篇压测篇一.测试环境 1．CPU 2．内存 3．操作系统 4．WEB环境二.优化前压测三.开启opcache优化四.laravel 缓存配置/路由/类映射加载优化 ...
控制台启动jar包关闭控制台怎么关java程序_Jpom一款简而轻的低侵入式Java运维、监控软件...
你为什么需要Jpom SpringBoot.Jboot等框架开发的项目通常是以Jar的方式在后台运行的,如果只有一两个项目,管理起来不是太麻烦,但是当项目多了以后,管理起来就不是那么方便了,当项目出现 ...
智慧发电厂+智能发电厂web端平台管理系统+Axure高保真智慧电厂系统+能耗管理+告警管理+生产监控+安防设备管理+运维设备管理+监控面板+系统管理+智慧电厂+电厂系统+axure源文件+rp原型
作品介绍:智慧.智能发电厂web端平台管理系统+Axure高保真智慧电厂系统+能耗管理+告警管理+生产监控+安防设备管理+运维设备管理+监控面板+系统管理建设智慧电厂是为了建立现代能源电力系统,实现 ...
智慧发电厂+智能发电厂web端平台管理系统+Axure高保真智慧电厂系统+能耗管理+告警管理+生产监控+安防设备管理+运维设备管理+监控面板+系统管理+智慧电厂+电厂系统+智慧电厂管理平台+rp原型
作品介绍:智慧.智能发电厂web端平台管理系统+Axure高保真智慧电厂系统+能耗管理+告警管理+生产监控+安防设备管理+运维设备管理+监控面板+系统管理建设智慧电厂是为了建立现代能源电力系统,实现 ...
【过关斩将】2020年互联网公司运维岗位面试题 -技能篇02
文章目录前言 MySQL面试题如何成为一个数据库DBA 总结前言本文是2020年互联网公司运维岗位面试题 -技能篇的第二篇文章,对于运维技能在面试前准备的越多越好. MySQL面试题 MySQ ...
运维,放过监控 - 也放过自己吧
根据多年和运维打交道的经历,我发现,运维常常让监控变得无效... 1.我的监控故事我做过两年多的运维工作,后面就转做运维平台开发了,也一步步看着监控系统越来越没用. 1.1 有用的监控当我做运维要 ...
「入门运维必看」一篇让小白彻底搞懂性能调优！
前言: 什么是性能调优?(what) 为什么需要性能调优?(why) 什么时候需要性能调优?(when) 什么地方需要性能调优?(where) 什么人来进行性能调优?(who) 怎么样进行性能调优?( ...

运维之监控与安全篇------2.SELinux安全防护、加密与解密

运维之监控与安全篇------2.SELinux安全防护、加密与解密相关推荐

最新文章

热门文章

运维之监控与安全篇------2.SELinux安全防护 、 加密与解密

运维之监控与安全篇------2.SELinux安全防护 、 加密与解密相关推荐

最新文章

热门文章

运维之监控与安全篇------2.SELinux安全防护、加密与解密

运维之监控与安全篇------2.SELinux安全防护、加密与解密相关推荐