Linux安全层详解

1 bastion(安全堡垒系统)通常配置两个服务：
　　1 服务定义系统的功能；
　　2 服务支持远程访问；
　　原则：
　　1 不需要某个软件卸载掉；
　　2 需要某个软件但不使用就不要激活；
　　为各个bastion系统配置的防火墙应该只允许专用服务和远程访问方法的流量通过。
2 使用安全更新的最佳防御
　　最好的防御来自安全更新；
3 服务特有的安全：
　　1 http、https
　　　　复杂的配置文件；
　　　　仅安装绝对需要的组件
　　2 DNS服务特有的安全：
　　　　RHEL7 bind-chroot程序包,在一个单独的子目录里配置必需的文件、设备、库。这个子目录限制突破DNS安全的用户。称为chroot jail
　　　　。他限制黑客突破服务就能够导航的目录。换句话说侵入DNS服务器的黑客无法越出chroot jail的子目录。
　　3 NFS 特有安全
　　　　建立Kerberos身份验证来支持基于用户的安全。对RHCE需要使用Kerberos来控制对NFS的访问。
　　4 SMB 特有安全
　　　　SMB标示服务消息块（server message block）协议，这个协议最初由IBM开发，后来经过microsoft修改作为其操作系统的网络协议。现在Microsoft               现在        将其统称为internet文件系统（ Commom Internet File System CIFS），但该网络协议的linux实现方式仍然称为samba。
　　　　可以通过Microsoft Active Directory利用samba来进行身份验证。Samba支持将用户和组映射到linux身份验证数据库。Samba还支持全局和共享目录               级别        上基于用户和基于主机的安全。
　　　　RHEL7 Samba版本4.1.它也可以作为域控制器（Domain Controller）与Microsoft Active Directory兼容。
　　5 SMTP服务特有安全
　　　　邮件传输协议（Simple Mail transport Protocol），支持两种不同的电子邮件通信服务：Postfix和Sendmail。这两种服务都是开源许可下发布的。
　　6 SSH 服务特有安全
　　 　　远程登录根账户不必得到允许。用户可进一步管理安全。
4 基于主机的安全
　　1 基于主机的安全指访问限制，不仅限制系统主机名访问，而且限制完全限定域名和IP地址访问。
　　2 网络地址范围通配符的标示方法：
　　192.168.122.0/255.255.255.0
　　192.168.122.0/24
　　192.168.122.*
　　192.168.122.
　　192.168.122
5 基于用户的安全：
6 控制台安全：
　　1 控制台的安全在/etc/securetty文件里规定；这样有助于规范本地控制台对根用户和一般用户的访问。
　　2 远程控制台访问的限制：
　　ssh
　　telnet：telnet服务器通信本质上是不安全的。用户名、口令和其他针对telnet服务器的往来通信都是以纯文本的形式传输，这也就意味着网络协议分析器         （wireshark）可以阅读用户名、口令及其他重要信息；
　　3 虽然telnet服务器可以使用Kerberos选项，但从成本上来说，大多数安全专家还是建议尽量避免将telnet用于远程控制台。

7 NSA五条规则保护linux系统：
　　1 在可能情况下机密传输数据
　　2 最简化软件，以便最小化漏洞
　　3 在单独系统上运行不同的网络服务
　　4 配置安全工具，提高系统健壮性
　　5 使用最低优先权原则
8 Policykit是另一种更安全的机制，用来保护不同的管理工具。
　　1 Policykit将其策略文件存储在/usr/share/polkit-l/actions目录中。与system-config-date工具对应的文件是org.fedoraproject.config.date.policy
　　2 这些文件以XML格式配置，用户个人可以进一步修改他们以支持细粒度的控制。虽然PolicyKit提供了文本程序可以使用的API。但一般情况下，该API　　用于授权运行GUI工具。
 　　3 另一个提供细粒度的工具是/etc/sudoers