linux -对称加密、 非对称加密

对称加密

加密和解密用的是相同的密码。

安全强度依赖密码的强度。

加密和解密效率非常快。


非对称加密

加密和解密用的是不相同的密钥。

效率非常低,不适合对大尺寸数据进行处理。



私钥

是钥匙持有人自己生成并且自行保管,绝对不能泄漏的。它是用于对数据的“签名”---其实最终效果也就是加密。使用私钥对经过公钥加密后的数据进行解密,这个过程叫“校验”。


公钥

是在私钥的基础上生成对应的密钥文件,是对签名的数据进行“解密”---对数据解密。也能使用公钥处理明文数据,这个过程叫“加密”。


证书

通过ca的私钥对某个公钥和公钥持有人的信息进行签名得来。--- 其实就是用ca的私钥“加密” 某个公钥和公钥信息得到的加密文件。



例子: 部署一个https的加密网站


一个IP只能支持建立一个加密网站。



1、安装apache的ssl模块


# yum install mod_ssl -y


安装玩之后,默认会自定成生配置文件。


2、编辑

# vim /etc/httpd/conf.d/ssl.conf


LoadModule ssl_module modules/mod_ssl.so

Listen 443


...

<VirtualHost _default_:443>

DocumentRoot "/share/weeken_03" <---修改

ServerName 10.1.1.21:443 <---修改

...

SSLEngine on

..


SSLCertificateFile /etc/httpd/conf.d/tanpao.crt

SSLCertificateKeyFile /etc/httpd/conf.d/tanpao.key

....

</VirtualHost>






我们生成的证书:

smtp+ssl == smtps

pop3 +ssl == pop3s

imap + ssl == imaps



=========================================================================



本地磁盘数据加密



加密前:

普通文件--> 挂载(调用文件系统驱动读取分区上的对应格式数据)---格式化---sda7


加密后:

普通文件--> 挂载----普通文件系统格式化--->加密驱动--初始化-->sda7




1、准备一个没有重要数据的分区进行加密初始化


初始化后,原有的数据是不可恢复



# cryptsetup -y luksFormat /dev/sda10


WARNING!

========

This will overwrite data on /dev/sda10 irrevocably.


Are you sure? (Type uppercase yes): YES

Enter LUKS passphrase:

Verify passphrase:



2、使用密码打开被加密驱动保护的分区



# cryptsetup luksOpen /dev/sda10 sda10_crypt

Enter passphrase for /dev/sda10: <---输入密码


# ll /dev/mapper/sda10_crypt <---被加密驱动监视的设备文件,所有数据读写都必须经过该设备文件,而对该设备文件的数据读写都是经过加密驱动的解密和加密。



3、首次使用加密分区,需要使用普通文件系统进行首次的格式化

# mkfs.ext4 /dev/mapper/sda10_crypt



4、挂载、测试


# mount /dev/mapper/sda10_crypt /mnt



使用完毕,就取消挂载并且关闭加密设备


# umount /mnt

# cryptsetup luksClose /dev/mapper/sda10_crypt




修改密码: 先增加一个新密码,再删除原有的其中一个旧密码

# cryptsetup luksAddKey /dev/sda10

Enter any passphrase: <---输入原来的任意一个旧密码

Enter new passphrase for key slot:  <---输入新密码

Verify passphrase:


# cryptsetup luksRemoveKey /dev/sda10

Enter LUKS passphrase to be deleted: <--输入之前的旧密码

==========================================================================================


Linux下磁盘加密——luks

LUKS(Linux Unified Key Setup)为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密真个硬盘。通过提供一个标准的磁盘上的格式,它不仅方便之间分布的兼容性,而且还提供了多个用户密码的安全管理。必须首先对加密的卷进行解密,才能挂载其中的文件系统。 www.2cto.com

工具:cryptsetup(默认已经安装)

常用参数:luksFormat、luksOpen、luksClose、luksAddKey

使用cryptsetup对分区进行了加密后,这个分区就不再允许直接挂载。LUKS也是一种基于device mapper 机制的加密方案。如果要使用这个分区,必须对这个分区做一个映射,映射到/dev/mapper这个目录里去,我们只能挂载这个映射才能使用。然而做映射的时候是需要输入解密密码的。

Crypsetup工具加密的特点:

加密后不能直接挂载

加密后硬盘丢失也不用担心数据被盗

加密后必须做映射才能挂载

步骤:

1.  创建分区并加密分区

2.  映射分区

3.  格式化分区并挂载使用

4. 关闭映射分区

创建一个磁盘分区/dev/sdb1,不进行格式化

1、 加密分区 www.2cto.com

# cryptsetup -v -y -c aes-cbc-plain luksFormat /dev/sdb1

WARNING!

========

This will overwrite data on /dev/sdb1 irrevocably.

Are you sure? (Type uppercase yes): YES --> 注意这里必须是大写的YES

Enter LUKS passphrase:

Verify passphrase:

Command successful.

#

2、 映射分区

# cryptsetup luksOpen /dev/sdb1 sx_disk //把sdb1映射为sx_disk

Enter passphrase for /dev/sdb1:

# ll -d /dev/mapper/sx_disk

lrwxrwxrwx. 1 root root 7 6月 25 03:24 /dev/mapper/sx_disk -> ../dm-0

# cryptsetup status /dev/mapper/sx_disk //查看映射分区状态

/dev/mapper//dev/mapper/sx_disk is active.

type: LUKS1

cipher: aes-cbc-plain

keysize: 256 bits

device: /dev/sdb1

offset: 4096 sectors

size:  16767701 sectors

mode:  read/write

# www.2cto.com

3、挂载使用

# mkdir /mnt/sx_disk

# mkfs.ext3 /dev/mapper/sx_disk

# mount /dev/sdb1 /mnt/sx_disk/  //直接挂载是不可以的

mount: unknown filesystem type 'crypto_LUKS'

# mount /dev/mapper/sx_disk /mnt/sx_disk/ //挂载映射设备,挂载成功

4、关闭映射,先卸载后关闭

# umount /mnt/sx_disk/

# cryptsetup luksClose sx_disk //关闭映射

# ll /dev/mapper/ //映射设备已经不见了

总用量 0

crw-rw----. 1 root root 10, 58 6月 25 03:01 control

#

5、设置开机自动挂载

生成密钥文件,如果想开机时手动输入密码可以不生成

# touch /root/cryptpasswd

# cryptsetup luksAddKey /dev/sdb1 /root/cryptpasswd

Enter any passphrase:

# cat /root/cryptpasswd //直接查看密钥为空

# www.2cto.com

设置开机启动

# vim /etc/crypttab

# cat /etc/crypttab

sx_disk /dev/sdb1 /root/cryptpasswd

//sx_disk为映射名称,/dev/sdb1是加密设备设备,/root/cryptpasswd为密码文件,如果想开机手动输入密码,密码文件处空着即可

# vim /etc/fstab

# tail -1 /etc/fstab

/dev/mapper/sx_disk    /mnt/sx_disk       ext4 defaults  0 0

#

==========================================================================================



webshell ---> 是否能够被传到服务器,关键还是看程序员写的web程序是否存在相关的漏洞


webshell带来的危害:

跨目录的访问:

解决: 对apache、php设定

开启selinux


针对apache,php设定,防止webshell跨目录



<VirtualHost *:8081>


DocumentRoot /share/weeken_03

。。。。

。。。。

<IfModule mod_php5.c>

php_admin_value open_basedir "/share/weeken_03:/var/lib/php/session:/tmp"

</IfModule>


</VirtualHost>


<VirtualHost *:8082>


DocumentRoot /share/weeken_06

。。。。

。。。。

<IfModule mod_php5.c>

php_admin_value open_basedir "/share/weeken_06:/var/lib/php/session:/tmp"

</IfModule>


</VirtualHost>



webshell可以通过php执行一些危险函数:运行命令、结束进程等等

# vim /etc/php.ini

..

disable_functions = exec,shell_exec,system,passthru,popen



webshell可以通过编译程序,执行危险的程序,例如:进行反向连接、提权。

解决:

上线的服务器,一般会把编译工具卸载掉,就算不卸载,也要把权限修改成700,只有root可以执行。


如果确定服务器不会主动向外连接,那么建议在iptables上的filter--> OUTPUT添加一条规则,记录所有主动向外发起连接规则

# iptables -t filter -A OUTPUT -m state --state NEW -j LOG --log-prefix "hacker"




建议:

一个独立的应用就有具有一个独立的数据库和数据库帐号,千万不能使用root帐号。

做好日志统计:

哪些页面不应该被访问到,却被访问。

www.upl.com/admin/login.php 404 报错

哪些页面只有限定IP才能访问,却被其他IP访问了。





      本文转自crazy_charles 51CTO博客,原文链接:http://blog.51cto.com/douya/1275962,如需转载请自行联系原作者



上一篇:jMeter 里如何调用函数 function


下一篇:Crontab 不会自动执行 修复、处理步骤