dsa签名linux_linuxSElinux防护加密解密gpg签名与认证

SElinux Security-Enhanced Linux

由美国国家安全局主导开发

一套强化linux安全的mac扩展模块

selinux的运作机制&＃xff1a;

集成到linux内核上(2.6及以上)

操作系统提供可定制的策略&＃xff0c;管理工具

linux安全保护模型

DAC&＃xff0c;自主访问控制

MAC&＃xff0c;强制访问控制

————————————————————————————————————————————————————————————————————————

SElinux使用&＃xff1a;

[root&＃64;158 ~]# sestatus 查看状态

enabled 启用模式

permissive 警告模式

disabled 禁用模式

SELINUXTYPE&＃61;targeted 保护常见的网络服务

示例&＃xff1a;

[root&＃64;158 ~]# vim /etc/sysconfig/selinux

SELINUX&＃61;enabled 启用模式

SELINUXTYPE&＃61;targeted 保护常见的网络服务

[root&＃64;158 ~]# reboot

查看文件的安全上下文

ll -Z 文件名

[root&＃64;158 ~]# ll -Z /etc/passwd

-rw-r--r--. root root system_u:object_r:etc_t:s0 /etc/passwd

查看目录的安全上下文

ll -dZ 目录名

[root&＃64;158 ~]# ll -dZ /etc/

drwxr-xr-x. root root system_u:object_r:etc_t:s0 /etc/

查看进程的安全上下文

ps aux -Z | grep 进程名

[root&＃64;158 ~]# ps aux -Z | grep http

unconfined_u:system_r:httpd_t:s0 root 2403 1.0 0.5 188164 5784 ? Ss 16:33 0:00 /usr/sbin/httpd

unconfined_u:system_r:httpd_t:s0 apache 2405 0.0 0.3 188164 3376 ? S 16:33 0:00 /usr/sbin/httpd

..... .....

unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 2414 0.0 0.0 103320 856 pts/0 S&＃43; 16:33 0:00 grep http

安全上下文格式&＃xff1a;用户:角色:访问类型:选项

常见的访问类型&＃xff1a;

bin t&＃xff1a;二进制执行文件

etc t&＃xff1a;系统配置文件

fsadm exec t&＃xff1a;文件系统管理

admin home t&＃xff1a;管理员账户的宿主目录

httpd sys content t&＃xff1a;httpd网站目录

启用了selinux后的一般操作规律

移动的文件&＃xff0c;原有的上下文属性不变

复制的文件&＃xff0c;自动继承目标位置的上下文

创建新文件时&＃xff0c;会自动继承父目录的安全上下文

修改文件的安全上下文文件

chcon 选项 访问类型 文件名

选项&＃xff1a;

-t 指定的访问类型

-R 递归修改

-u&＃xff0c;-r&＃xff0c;分别来指定用户&＃xff0c;角色

实例&＃xff1a;

[root&＃64;158 ~]# ll -Z xx.html (在root下创建一个文件)

-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 xx.html

[root&＃64;158 ~]# mv xx.html /var/lib/mysql/ (把文件移动到mysql目录下)

[root&＃64;158 ~]# chcon -t mysqld_db_t /var/lib/mysql/xx.html (更改文件安全上下文)

[root&＃64;158 ~]# ll -Z /var/lib/mysql/xx.html (再次查看)

-rw-r--r--. root root unconfined_u:object_r:mysqld_db_t:s0 /var/lib/mysql/xx.html

恢复文件的安全上下文(恢复为所在位置的默认上下文属性)

restorecon 文件名

选项&＃xff1a;

-t 指定的访问类型

-R 递归修改

实例&＃xff1a;

[root&＃64;158 ~]# mv /var/lib/mysql/xx.html /root/(移动回root)

[root&＃64;158 ~]# ll -Z xx.html

-rw-r--r--. root root unconfined_u:object_r:mysqld_db_t:s0 xx.html

[root&＃64;158 ~]# restorecon xx.html (恢复)

[root&＃64;158 ~]# ll -Z xx.html

-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 xx.html

设置selinux布尔值(bool)

查看selinux布尔值

[root&＃64;158 ~]# getsebool -a

修改布尔值

setsebool -P 布尔选项 on/off

-P 永久修改

实例&＃xff1a;在158服务器上配置ftp服务&＃xff0c;允许匿名用户上传/下载文件

[root&＃64;158 ~]# vim /etc/vsftpd/vsftpd.conf

anon_upload_enable&＃61;YES(27行处&＃xff0c;去掉#号)

[root&＃64;158 ~]# /etc/init.d/vsftpd start

修改ftp布尔值(不修改布尔值上传不了文件)

[root&＃64;158 ~]# setsebool -P allow_ftpd_anon_write on(更改ftp布尔值 -P永久更改 on开启)

[root&＃64;158 ~]# setsebool -P allow_ftpd_full_access 1

ftp> cd hydra(到hydra目录下)

ftp> lcd /root/(到root下)

ftp> put xx.sh(上传root下的xx.sh文件)

当不知道更改什么布尔值的时候该怎么做&＃xff1f;

运行selinux日志服务&＃xff0c;记录报错信息

[root&＃64;158 ~]# yum list | grep -i shoot

setroubleshoot

setroubleshoot-plugins.noarch

setroubleshoot-server

需要这三个包

测试&＃xff1a;selinux日志服务

[root&＃64;158 ~]# yum -y install setroubleshoot-plugins.noarch setroubleshoot-server setroubleshoot

[root&＃64;158 ~]# reboot(需要重启主机才可以)

[root&＃64;158 ~]# setsebool -P allow_ftpd_full_access&＃61;0(把布尔值改为0)

ftp> cd hydra

ftp> lcd /root/

ftp> put install.log(测试上传文件失败)

[root&＃64;158 ~]# tail -f /var/log/messages(日志下回产生错误的问题)

Sep 11 18:36:11 158 setroubleshoot: SELinux is preventing

/usr/sbin/vsftpd from write access on the directory hydra.

For complete SELinux messages.

run sealert -l b29f9b89-94f1-4476-ad54-cc2c1225b88f

[root&＃64;158 ~]# sealert -l b29f9b89-94f1-4476-ad54-cc2c1225b88f(然后运行错误信息&＃xff0c;它会提示解决办法)

If 您要 allow ftp servers to login to local users and read/write all files on the system, governed by DAC.

Then 您必须启用 &＃39;allow_ftpd_full_access&＃39;boolean 告知 SELinux 这个情况。

Do(解决办法)

setsebool -P allow_ftpd_full_access 1(然后运行这条命令)

ftp> cd hydra(再次测试上传文件)

ftp> lcd /root/

ftp> put install.log(上传成功)

150 Ok to send data.

——————————————————————————————————————————————————————————————————————————————————

加密与解密

加密&＃xff1a;把明文变成密文(发送方)

解密&＃xff1a;把密文变成明文(接受方)

算法&＃xff1a;实现 "明文《--》密文" 转换的计算规则

密钥&＃xff1a;实现 "明文《--》密文" 转换用到的指令或代码

加密方式&＃xff1a;

对称加密&＃xff1a;加密/解密用同一个密钥

非对称加密&＃xff1a; 加密/揭秘用不同的密钥(公钥加密&＃xff0c;私钥解密)

不可逆加密(信息摘要)&＃xff1a;基于输入的信息生成长度较短

位数固定的散列值&＃xff0c;通常用来验证数据的完整性

Hash散列技术&＃xff0c;MD5 SHA

加密算法&＃xff1a;

对称加密算法&＃xff1a;

DES

AES

非对称加密算法&＃xff1a;

RSA

DSA

加密工具&＃xff1a;

GPG加/解密工具&＃xff1a;最流行的数据加密&＃xff0c;数字签名工具(redhat自带)

[root&＃64;158 ~]# gpg --help

支持的算法&＃xff1a;

公钥&＃xff1a;RSA, ELG, DSA

对称加密&＃xff1a;3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128,

CAMELLIA192, CAMELLIA256

散列&＃xff1a;MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224

压缩&＃xff1a;不压缩, ZIP, ZLIB, BZIP2

语法&＃xff1a;

gpg [选项] [文件名]

加密操作&＃xff1a;-c

解密操作&＃xff1a;-d(默认把解密的文件输出到屏幕)

实例&＃xff1a;

使用gpg做对称加密/解密

[root&＃64;158 ~]# gpg -c xx.html

┌───────────────────────────

│ 请输入密码 |

│ |

│ |

│ Passphrase ________________________________________ |

│ |

│ |

└───────────────────────────

[root&＃64;158 ~]# ls

xx.html.gpg(加密后的文件)

[root&＃64;158 ~]# gpg -d xx.html.gpg > /tmp/xx.txt(解密,把内容放到tmp/xxx.txt下)

[root&＃64;158 ~]# cat /tmp/xx.txt (查看加密后的文件)

hail hydra

实例&＃xff1a;

使用gpg做非对称加密/解密

创建密钥对&＃xff1a;

[root&＃64;158 ~]# gpg --gen-key

//设置用户信息&＃xff0c;私钥口令

[root&＃64;158 ~]# gpg --list-keys(列出自己的密钥)

[root&＃64;158 ~]# gpg -a --export > /tmp/xx.pub(导出公钥)

[root&＃64;158 ~]# scp /tmp/xx.pub xxx.xxx.xxx.xx.:/root(传输公钥)

加密&＃xff1a;

[root&＃64;ceshiji ~]# gpg --import /root/xx.bup(导入158的公钥)

[root&＃64;ceshiji ~]# gpg -e -r 姓名 加密的文件(-e加密 -r创建gpg时候写的姓名)

解密&＃xff1a;

[root&＃64;158 ~]# gpg -d 文件(-d解密&＃xff0c;会自动调用私钥)

实例&＃xff1a;

158主机创建密钥对&＃xff0c;导出公钥&＃xff0c;并把导出的公钥传给ceshiji主机

ceshiji主机导入158主机的公钥&＃xff0c;使用公钥加密要发送的文件&＃xff0c;并把加密后的文件传给158

158主机使用自己的私钥解密文件

[root&＃64;158 ~]# gpg --gen-key

请选择您要使用的密钥种类&＃xff1a;

(1) RSA and RSA (default)

(2) DSA and Elgamal

(3) DSA (仅用于签名)

(4) RSA (仅用于签名)

您的选择&＃xff1f; 1

RSA 密钥长度应在 1024 位与 4096 位之间。(位数越大越安全)

您想要用多大的密钥尺寸&＃xff1f;(2048)2048

您所要求的密钥尺寸是 2048 位

请设定这把密钥的有效期限。

0 &＃61; 密钥永不过期

&＃61; 密钥在 n 天后过期

w &＃61; 密钥在 n 周后过期

m &＃61; 密钥在 n 月后过期

y &＃61; 密钥在 n 年后过期

密钥的有效期限是&＃xff1f;(0) 0

密钥永远不会过期

以上正确吗&＃xff1f;(y/n)y

真实姓名&＃xff1a;Anonymous(这三个东西要记住&＃xff0c;解密会用到)

电子邮件地址&＃xff1a;Anonymous&＃64;hydra.onion

注释&＃xff1a;tor

您选定了这个用户标识&＃xff1a;

“Anonymous (tor) ”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)&＃xff1f;O

您需要一个密码来保护您的私钥。

我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动(这里速度会很慢&＃xff0c;很慢)

鼠标、读写硬盘之类的)&＃xff0c;这会让随机数字发生器有更好的机会获得足够的熵数。

[root&＃64;158 ~]# gpg --list-keys

/root/.gnupg/pubring.gpg

------------------------

pub 1024R/A1982C18 2017-09-12

uid Anonymous (tor)

sub 1024R/31800563 2017-09-12

[root&＃64;158 ~]# gpg -a --export > /tmp/158.bup(导出公钥)

[root&＃64;158 ~]# scp /tmp/158.bup 192.168.4.10:/root/(传送公钥给ceshiji)

[root&＃64;ceshiji ~]# gpg --import /root/158.bup(导入158的公钥)

[root&＃64;ceshiji ~]# gpg -e -r Anonymous xxx.txt(用公钥加密文件)

[root&＃64;ceshiji ~]# scp xxx.txt.gpg 192.168.4.158:/root/(把加密后的文件传给158)

[root&＃64;158 ~]# gpg -d xxx.txt.gpg >/tmp/xxx.txt(158会自动调用自己的私钥解密&＃xff0c;解密后的文件默认输出到屏幕上&＃xff0c;可以重定向到文件)

gpg软件签名与认证

[root&＃64;158 ~]# gpg -b xx.sh(-b签名)

xx.sh.sig(签名文件)

[root&＃64;158 ~]# scp xx.sh.sig xx.sh 158.bup 192.168.4.19:/root/(把源文件和签名文件以及公钥打包发送给主机19)

[root&＃64;19 ~]# gpg --import /root/158.bup(导入公钥)

[root&＃64;19 ~]# gpg --verify xx.sh.sig

gpg: 于 2017年09月13日 星期三 03时34分11秒 CST 创建的签名&＃xff0c;使用 RSA&＃xff0c;钥匙号 A1982C18

gpg: 完好的签名&＃xff0c;来自于“Anonymous (tor) ”(完好的签名&＃xff0c;如果内容被改后则是损坏的签名)

gpg: 警告&＃xff1a;这把密钥未经受信任的签名认证&＃xff01;

gpg: 没有证据表明这个签名属于它所声称的持有者。(验证指纹&＃xff0c;指纹一样则是没问题的)

主钥指纹&＃xff1a; 83D0 D0A8 CA01 B349 B663 B88C 82D5 700D A198 2C18

[root&＃64;19~]# gpg --fingerprint(打印指纹)

...... ..... ....... ......

密钥指纹 &＃61; 83D0 D0A8 CA01 B349 B663 B88C 82D5 700D A198 2C18