运维安全之服务安全

　　服务安全

　　服务安全概述

• 　　SELinux　　
• 　　数据加密
• 　　常用服务安全

　　

　　SELinux

　　访问控制分类

　　DAC

　　Discretionary Access Control,自主访问被控制，依据进程的所有者与文件资源的rwx权限来决定有无访问权
限。
　　缺点：
　　1. 如果某个进程以root身份运行，可能被恶意目的
　　2. 用户可以取得进程来获得文件的访问权限
　　总结：DAC针对控制的主体是用户

　　

　　MAC

　　Mandatory Access Control,强制访问控制，依据策略规则决定进程可以访问哪些文件
　　优点：
　　即使是root用户，在使用不同进程时，所能取得的权限并不一定是root，需要看当时进程的设置而定
　　总结：MAC针对控制的主体是进程

　　

　　SELinux介绍

　　SELinux(安全增强型Linux)是美国国家安全局开发，是实现系统安全性的额外机制，其目标之一是保护用户的数据免
受已泄露的系统服务的威胁。
　　SELinux提供一些默认的策略(Policy), 并在该策略内提供多个规则(rule)，让用户可以选择是否启用该控制规则
　　例如：在强制访问控制的设置下，进程能够活动的空间变小了，httpd进程默认只能访问/var/www/目录中的文件，
　　所以即使httpd被黑客取得了控制权，其也将无法对系统中其它目录或文件进行浏览或更改。

　　无强制访问控制

?

1 2 3 4

[root@node1 ~]# sed '/#/d' /etc/selinux/config   SELINUX=disabled SELINUXTYPE=targeted

 　　

　　有强制访问控制

?

1	SELINUX=enforcing

 

 

 　　许可访问控制

?

1	SELINUX=permissive

 

 

 　　SElinux策略模式设置

?

1 2	#sed -ri 's/SELINUX=disabled/SELINUX=enforcing/' /etc/selinux/config #reboot

 　　需要重启才能生效

　　注意：一般企业不使用SELinux 除非对SELinux很熟悉

 

 　　数据加密技术

　　数据加密概述

　　加/解密就是函数变换的过程

 

 　　加密体系分类

 　　根据加密钥匙不同，可以分为：
　　传统加密/对称加密
　　加密和解密使用一同把钥匙
　　优点：效率高，加密速度快，可以加密大量的数据，几个G 至几十个G
　　缺点：密钥的传递问题

 

 　　对称加密算法：DES, 3DES, RC4, RC5, RC6, BASE64, AES256