服務安全概述
SELinux
資料加密
常用服務安全
通路控制分類
DAC
Discretionary Access Control,自主通路被控制,依據程序的所有者與檔案資源的rwx權限來決定有無通路權
限。
缺點:
1. 如果某個程序以root身份運作,可能被惡意目的
2. 使用者可以取得程序來獲得檔案的通路權限
總結:DAC針對控制的主體是使用者
MAC
Mandatory Access Control,強制通路控制,依據政策規則決定程序可以通路哪些檔案
優點:
即使是root使用者,在使用不同程序時,所能取得的權限并不一定是root,需要看當時程序的設定而定
總結:MAC針對控制的主體是程序
SELinux(安全增強型Linux)是美國國家安全局開發,是實作系統安全性的額外機制,其目标之一是保護使用者的資料免
受已洩露的系統服務的威脅。
SELinux提供一些預設的政策(Policy), 并在該政策内提供多個規則(rule),讓使用者可以選擇是否啟用該控制規則
例如:在強制通路控制的設定下,程序能夠活動的空間變小了,httpd程序預設隻能通路/var/www/目錄中的檔案,
是以即使httpd被黑客取得了控制權,其也将無法對系統中其它目錄或檔案進行浏覽或更改。
無強制通路控制
有強制通路控制
許可通路控制
需要重新開機才能生效
注意:一般企業不使用SELinux 除非對SELinux很熟悉
加/解密就是函數變換的過程
根據加密鑰匙不同,可以分為:
傳統加密/對稱加密
加密和解密使用一同把鑰匙
優點:效率高,加密速度快,可以加密大量的資料,幾個G 至幾十個G
缺點:密鑰的傳遞問題
對稱加密算法:DES, 3DES, RC4, RC5, RC6, BASE64, AES256