ftp共享服务
基本配置就不细述,主要将一下,如何实现允许匿名登陆上传数据
只需要再服务器上 修改配置文件/etc/vsftpd/vsftpd.conf ,再重启服务
sed -i '/anon_upload_enable/canon_upload_enable=YES' /etc/vsftpd/vsftpd.conf
客户端使用ftp命令访问ftp服务器
[root@client ~]# ftp 服务器FTP的IP
# 输入用户名,如果是匿名用户,输入ftp
Name (192.168.4.50:root): ftp
331 Please specify the password.
# 输入密码
Password:
# 下面的提示,表示登陆成功,就可以进行相关操作了
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
客户端ftp内的操作命令
| 客户端ftp内的操作命令 |
| ls |
查看ftp服务器中当前目录下,有哪些文件或目录 |
| cd |
切换ftp服务器中的目录位置,用于进入ftp服务器中的一些字目录 |
| lcd |
切换当前机器的目录,用于确定下载文件到本机的什么位置,以及上传本机什么目录下的文件 |
| get |
下载当前所在ftp服务器目录下的某个文件,到当前所在的本机目录 |
| put |
上传当前本机所在目录下的指定的一个文件,到当前所在ftp服务器的目录喜爱 |
| exit |
退出,两个命令作用一样 |
| bye |
如果想进行上传等操作,服务端需要修改bool值,将其开启才可以实现原称
ftpd_anon_write ftpd_full_access
Selinux
简介: 一个强化Linux安全的拓展模块,它是当客户端通过防火墙后,抵达服务器后访问服务的时候进行工作,主要是为了给操作系统提供可定制的策略,管理工具
三种状态:
| enforcing |
强制模式,会强制停止不符合策略的操作或服务 |
| permissive |
宽松模式,会检测并警告一些不符合策略的操作,极少情况下拒绝某些操作 |
| disabled |
关闭模式,不启用Selinux |
模式控制:
| targeted |
仅保护最常见的网络服务(默认、推荐) |
| minimum |
折中的操作 |
| mls |
多层级保护,保护系数高,但是会降低访问的速率 |
安全上下文
属性构成: 用户:角色:访问类型:选项
查看安全上下文的属性:
ls -Z 文件
操作的一般规律:
1. 使用移动命令的时候,文件原有的上下文值不变
2. 执行复制操作的时候,文件会自动目标位置的父目录的上下文
3. 创建一个文件,文件也是获取父目录的上下文值
设置上下文:
chcon -t 安全上下文的访问类型 文件
chcon -R -t 安全上下文的访问类型 目录
恢复上下文(让文件的上下文与其当前所在父目录相同)
restorecon 文件
restorecon -R 目录
# 下次重启机器后,重置所有的上下文值
echo > /.autorelabel
注意:
1. 建议先查看其预备存储的目录的上下文,然后考虑移动后文件的上下文是否改为一样
2. 移动复制的上下文规律一般都是那样,不会变,但是也有特例
布尔值
简介: 设置服务的某些功能的开与关
查看布尔值:
getsebool -a
getsebool -a | grep 关键字
# 返回的数据的含义是: 布尔参数 --> on|off
修改布尔值:
setsebool 布尔参数 on|off
监控程序(用于服务因Selinux出现一些问题的解决)
1. 安装setroubleshoot包
2. 当出现问题了,查看日志信息
grep shoot /var/log/messages
3. 然后,看看错误位置,会提示运行什么程序,将run后面的命令,复制执行
run: sealert -l 6cd83e12-06b5-4ae5-bd0f-25b755ef2b14
4. 根据提示,一个一个把所有命令执行一遍,就能解决问题
加密解密
目的: 保证数据再传递过程中的的安全性,完整性
加密解密的原理:
发送方把要发送的文件,通过某个技术进行加密,然后发送给接收方,接收方再通过相应的技术进行解密,只不过,双方的加密解密技术实现商量好了,发送方加密的东西接收方能且只有其能解密
完整性:
如果说文件加密是为了文件的安全,那加密签名技术就是专门为了完整性设计的
除了签名,还可以使用MD5进行完整性检验,这软件是通过一个算法得到一个只与文件内容相关的校验码,如果数据有一点不同,那么校验码也会有不一样,反之如果校验码完全相同,那么数据也会一模一样,所以用户也可以手动用md5sum命令生成校验值进行比较。
算法:
| 对称加密 |
DES、AES |
加密解密是使用一个算法 |
| 非对称加密 |
RSA、DSA |
加密解密是两个不同的算法,加密算法不能解密 |
GPG加密
简介: 当前最流行的数据加密、数字签名工具
安装软件: yum install -y gnupg
安装后就可以进行加密和解密量,下面进行操作分析,现在假定A用户要给B用户发送一个文件,希望加密传递,两个加密的操作过程如下
对称加密:
原理: A用户用密码加密一个文件,只需要告知B用户密码,B即可解密
# 使用命令 (会生成一个 文件名.gpg 的文件)
[root@A ~]# gpg -c 加密文件名
lqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk
x 请输入密码 x
x x
x x
x Passphrase ________________________________________ x
x x
x <OK> <Cancel> x
mqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqj
# 加密后,A用户把加密得到的文件发给B用户即可,B用户解密的时候有密码即可
非对成加密:
原理: B用户生成一个密钥对,然后把公钥发给A用户,A用户用公钥加密然后把加密文件给B,B再拿自己的私钥解密即可
1. 用户B生成密钥对
[root@B ~]# gpg --gen-key
2. 用户B导出公钥(公钥名字自定义)
[root@B ~]# gpg --export -a > 公钥文件名
# 运行后,会要求选择加密算法,加密长度(越长生成速度越慢、同样越安全)
# 然后会要求属于name、mail等标签,可以任意写,但要记住,后来会组成一个字符串用来标示密钥对
# 字符串内容组成为: 名字 (注释) <邮箱>
# 最后输入:O(大写的o) 确认生成
# 然后要求输入密码,这个密码就是用来保护私钥,下次调用私钥解密的时候需要输入这个密码
3. 把公钥发给A用户
4. 用户A导入公钥
[root@A ~]# gpg --import 用户A发的公钥文件的绝对路径
5. 用户A利用公钥加密(生成一个 文件.gpg文件,将其发给其他用户)
[root@A ~]# gpg -e -r 公钥中的任意一个标示 加密文件名
解密:
[root@B ~]# gpg -d 文件名
对称和非对称加密,其解密都是一样的命令,不同的是:
对称加密解密的时候,密码是加密方设定的
非对称加密解密的时候,密码是自己设定的(目的是保护私钥)
签名:
作用:保证服务端发送的软件包完整安全可靠,软件公司就会官方把公钥、签名和软件发布出来,用户受到后,就可以用签名和公钥检查软件的完整和准确性
原理:B用户用私钥对一个文件进行签名,然后把签名文件和源文件一起发给A用户,A用户用公钥检查签名,如果正常,那文件就是B用户传来的
1. 用户B生成公私钥,把公钥发给A用户,A用户完成导入(上面非对称加密的操作)
2. 用户B生成签名文件,把文件和签名文件发给用户A
[root@B ~]# gpg -b 被签名的文件
3. 通过签名文件和公钥检测
[root@A ~]# gpg --verify 签名文件.sig 源文件
*. 可以更深层次核实签名的可靠性,通过 主钥指纹,A用户检查签名后就会提示除指纹,只要和用户B生成密钥的指纹对比一下,如果一样那么签名就可信
# 检查私钥所在用户的指纹信息,接收方运行检测签名的时候就会显示指纹
[root@B ~]# gpg --fingerprint
入侵检测
原理: 按时给一个文件进行一个数据备份存储,通过aide软件,将其制作为一个文件,定时用aide软件对比当前系统中多个目录是否被修改过,如果被修改了且确定不是自己的操作,就是被入侵了,这时候aide会告知什么文件出了问题
配置:
1. 装包
yum install -y aide
2. 配置,修改配置文件/etc/aide.conf,及其详解
# 定义aide的工作目录
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
# 定义检测是否入侵的时候,对比的基础文件名
# The location of the database to be read.
database=file:@@{DBDIR}/aide.db.gz
# 定义运行aide的时候,当前系统状态的文件,建议改为和上面的基础文件名一样
#database_out=file:aide.db.new
database_out=file:@@{DBDIR}/aide.db.new.gz
# 然后会对检测什么参数做定义
# 定义多个别名,下面列举的叫FIPSR,其作用是检测几乎所有
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
# 最后从100行左右开始,是定义检测什么目录内容,检测什么方面内容,一般不需要检测这么多,建议注释掉,然后写自己需要检测的目录
目录 检测什么内用
/etc/ FIPSR
3. 初始化,启动检测
aide --init
# 会按照配置文件中写的配置,在工作目录下创建对应名字的文件
4. 备份生成的数据文件,并且把工作目录下的数据文件改名为配置文件中,用于对比的基础文件名
5. 觉得被入侵的时候,进行检测
aide -C
# 之后系统会检测所有配置文件中指定的目录,如果被修改了,会提示哪个被修改了,改成什么了
NMAP扫描
简介: 一个强大的网络探测设备,支持多种探测(PING、端口、TCP/IP)
安装相关软件: yum install -y nmap
命令中的IP可以有很多表达方式:
1. 一个主机的IP,那么扫描只查看该主机的信息
2. 一个网段 例如172.10.110.0/24 ,那么就是扫描数据从172.10.110.0 到 172.10.110.255,查看这256个主机
3. 一个网络范围 例如 172.10.110.10-20,那么就是扫描数据 172.10.110.10 到 172.10.110.20,查看这11个主机
| 用法 |
作用 |
| nmap -sS IP |
TCP扫描各个主机,只不过三次握手只做前面两部 |
| nmap -sT IP |
TCP扫描各个主机,并且连接的时候完成完整的三次握手 |
| nmap -sP IP |
只进行ping操作扫描 |
| nmap -A IP |
进行最完整的全系统检测,检测服务的启动情况等等 |