中标麒麟Linux系统数据安全保护.pptxVIP

中标麒麟Linux系统数据安全保护技术创新，变革未来中标麒麟Linux服务器操作系统培训系列

本章目标掌握加密协议的基础知识描述中标麒麟Linux服务器操作系统中的加密实施机制为通用联网协议配置加密服务

加密需要不加密流量的易受攻击性密码/数据嗅探数据操作验证操作相当于邮寄明信片不安全的传统协议telnet、FTP、POP3等等:不安全密码sendmail、NFS、NIS 等等:不安全信息rsh、rcp等等:不安全验证

用加密技术构建块随机数字生成程序–单向散列–对称算式–不对称算式(公钥)–公钥体系–数码证书–实施方式：–openssl、gpg

随机数字生成程序伪随机数字和嫡源键盘和鼠标问题块设备中断内核提供来源/dev/random最佳源当熵池用尽后阻塞/dev/urandom:从熵池中提取，直到用尽回归到伪随机生成程序opensslrand[-base64]num

单向散列将任意数据缩成小“指纹”–任意长度输入–固定长度输出若修改数据，指纹也会改变(“不会产生冲突”)无法从指纹中重新生成数据(“单向”)常见算式–md2、md5、mdc2、rmd160、sha、sha1常用工具–shalsum[--check]file–md5sum[--check]file–openssl、gpg–mm-V

对称加密基于单一密钥用于加密和解密常见算式–DES、3DES、Blowfish、RC2、RC4、RC5、IDEA、CAST5常用工具–passwd(修改过的DES)–gpg(3DES、CAST5、Blowfish)–openssl

非对称加密基于一对公钥/密钥对用密钥要对中的一个加密，另一个解密协议I：非密钥同步加密–接收者生成公钥/密钥对：P和S公开公钥P，保密密钥S–发送者使用接收者的公钥来加密消息M将P(M)发送给接收者–接收者使用密钥来解密：M＝S(P(M))

非对称加密（续）协议II：数码签名–发送者生成公钥/密钥对：P和S公开公钥P，保密密钥S使用密钥S来加密消息M发送给接收者S(M)–接收者使用发送者的公钥来解密M＝P(S(M))结合签名和加密分离签名

公钥体系非对称加密依赖于公钥的完整性两种防止劣质公钥的方法：–公开钥匙指纹–公钥体系(PKI)分布式信任网层次化证书授权机构数码证书

数码证书证书授权机构数码证书–所有者：公钥和身份证件–颁发者：分开的签名和身份证件有效期类型–证书授权机构的证书–服务器证书–自行签发的证书

生成数码证书X.509证书格式生成公钥/密钥对并定义身份两种方法：使用证书授权机构生成签名请求(csr)将csr发送给CA从CA处接收签名自签的证书签发您自己的公钥

OpenSSH总览用OpenSSH代替常用的不安全网络通讯应用程序提供用户验证以及基于权标的验证具备通过端口转发来隧穿不安全协议的能力系统默认配置(客户机和服务器)位于/etc/ssh/

OpenSSH验证sshd守护进程可以利用几种不同的验证方法–密码(被安全发送)–RSA和DSA密钥–Kerberos–s/key和SecureID

OpenSSH服务器在联网的系统间提供更强大的数据安全性公钥/密钥加密术和SSH的早期限于商用的版本兼容通过libwrap.so来实施基于主机的安全性

服务介绍：SSH类型：系统V(SystemV)管理的服务软件包：openssh、openssh-clients、openssh-server守护进程：/usr/sbin/sshd脚本：/etc/init.d/sshd端口：22配置文件：/etc/ssh/*、$HOME/.ssh/相关软件包：openssl、openssh-askpass、openssh-askpass-gnome、tcp_wrappers

OpenSSH服务器配置SSHD配置文件–/etc/ssh/sshd_config需考虑的选项–Protocol–ListenAddress–PermitRootLoginBannerOpenSSH客户机

OpenSSH客户机安全shell会话–sshhostname–sshuser@hostname–sshhostnameremote-command安全进行远程文件和目彔复制–scpfileuser@host:remote-dir–scp-ruser@host:remote-dirlocaldir由sshd提供的安全FTP–sftphost–sftp-Cuser@host

保护您的钥匙ssh-add-收集钥匙密码短语ssh-agent-管理钥匙密码短语