RHCE技术培训-保护数据安全介绍

1、RedHat RHCE 操作系统技术培训资料保护数据安全介绍单元 8 保护数据安全目标加密需要用加密技术构建块随即数字生成程序单向散列对称加密非对称加密 I非对称加密 II公钥体系数码证书生成数码证书OpenSSH 总览OpenSSH 验证OpenSSH 服务器服务侧写 ：SSHOpenSSH 服务器配置OpenSSH 客户机保护您的钥匙应用程序 ：RPM 结束 单元 8目标学习了本单元后，你应该能够： 掌握加密协议的基础知识 描述红帽企业版 Linux 系统中的加密实施机制 为通用两位协议配置加密服务加密需要 不加密流量的易受攻击性 密码 / 数据嗅探 数据操作 验证操作 相当于邮寄明信片

2、不安全的传统协议 telnet、FTP、POP3 等等 ：不安全密码 sendmail、NFS、NIS 等等 ：不安全信息 rsh、rcp 等等 ：不安全验证用加密技术构建块 随机数字生成程序 单向散列 对称算式 不对称算式（公钥） 公钥体系 数码证书 实施方式 ： openssl、gpg随机数字生成程序 伪随机数字和熵源 键盘和鼠标问题 块准备中断 内核提供来源 /dev/random ： 最佳源 当熵池用尽阻塞 /dev/urandon ： 从熵池中提取，直到用尽 回归到伪随机生成程序 openssl rand -base64 num单向散列 将任意数据缩成小“指纹” 任意长度输入 固定长

3、度输出 若修改数据，指纹也会改变（“不会产生冲突”） 无法从指纹中重新生成数据（“单向”） 常见工具 sha1sum -check file md5sum -check file openssl 、gpg rpm -V对称加密 基于单一密钥 用于加密和解密 常见算式 DES、3DES、Blowfish、RC2、RC4、RC5、IDEA、CAST5 常用工具 passwd（修改过的 DES） gpg（3DES、CAST5、Blowfish） openssl非对称加密 I 基于一对公钥/密钥对 用密钥要对其中的一个加密，另一个解密 协议 I ：非密钥同步加密 接收者 生成公钥/密钥对 ：P 和 S

4、 公开公钥 P，保密密钥 S 发送者 使用接收者的公钥来加密消息 M 将 P（M ）发送给接收者 接收者 使用密钥来解密 ：M =S（P（M）非对称加密 II 协议 II ：数码签名 发送者 生成公钥/密钥对 ：P 和 S 公开公钥 P，保密密钥 S 使用密钥 S 来加密消息 M 发送给接收者 S（M） 接收者 使用发送者的公钥来解密 M = P（S（M） 结合签名和加密 分离签名公钥体系 非对称加密依赖于公钥的完整性 两种防止劣质公钥的方法 ： 公开钥匙指纹 公钥体系 （PKI） 分布式信任网 层次化证书授权机构 数码证书数码证书 证书授权机构 数码证书 所有者 ：公钥和省份证件 颁发者 ：

5、分开的签名和身份证件 有效期 类型 证书授权机构的证书 服务器证书 自行签发的证书生成数码证书 X.509 证书格式 生成公钥/密钥对并定义身份 两种方法 ： 使用证书授权机构 生成签名请求 将 csr 发送给 CA 从 CA 处接收签名 自签的证书 签发您自己的公钥OpenSSH 总览 用 OpenSSH 代替常用的不安全网络通讯应用程序 提供用户验证以及基于权标的验证 具备通过端口转发来隧穿不安全协议的能力 系统默认配置（客户机和服务器）位于 /etc/ssh/OpenSSH 验证 sshd 守护进程可以利用几种不同的验证方法 密码（被安全发送） RSA 和 DSA 密钥 Kerberos

6、 s/key 和 SecureID 使用系统钥匙对进行主机验证 OpenSSH 服务器 在联网的系统间提供更强大的数据安全性 公钥/密钥的加密术 和 SSH 的早期限于商用的版本兼容 通过 libwrap.so 来实施基于主机的安全性服务侧写 ：SSH 类型 ：系统（System V）管理的服务 软件包 ：openssh、openss-clients、openssh-server 守护进程 ：/usr/sbin/sshd 脚本 ：/etc/init.d/sshd 端口 ：22 配置文件 ：/etc/ssh/*、$HOME/.ssh 相关软件包 ：openssl、openssh-askpass、

7、openssh-askpass-gnome、tcp_wrappersOpenSSH 服务器配置 SSHD 配置文件 /etc/ssh/sshd_config 需考虑的选项 Protocol ListenAddress PermitRootLogin BannerOpenSSH 客户机 安全 shell 会话 ssh hostname ssh userhostname ssh hostname remote-command 安全进行远程文件和目录复制 scp file userhost:remote-dir scp r userhost:remote-dir localdir 由 sshd 提供的安全 FTP sftp host sftp C userhost保护您的钥匙 ssh-add - 收集钥匙密码短语 ssh-agent - 管理钥匙密码短语应用程序 ：RPM 文件完整性的两种实施方式 被安装的文件 MD5 单向散列 rpm -verify package_name（or -V） 发行的软件包文件 GPG 公钥签名 rpm -import /etc/pki/rpm-gpg/RPM-GPG-KEY-re