第 III 部分 网络安全性 #
- 21 X Window 系统和 X 身份验证
网络透明性是 Unix 系统最重要的特征之一。X(Unix 操作系统的窗口系统)能够鲜明地利用这一特性。使用 X 可以成功完成以下操作:登录到远程主机并启动一个图形程序,然后可以通过网络发送该程序,使其显示在您的计算机上。
- 22 使用 OpenSSH 保护网络操作
OpenSSH 是 SUSE Linux Enterprise Server 随附的 SSH(安全外壳)实现,用于保护远程管理、文件传输和为不安全的协议构建隧道等网络操作。SSH 加密两台主机之间的所有流量(包括身份验证),以防范窃听和连接劫持。本章介绍基本操作以及主机密钥轮换和证书身份验证,这些操作对于管理大型 SSH 部署非常有用。
- 23 掩蔽和防火墙
只要在网络环境中使用 Linux,您就可以利用内核功能通过操纵网络包将内部网络区域和外部网络区域隔开。Linux
netfilter
框架提供了一种建立有效防火墙的方法,可以将不同网络隔开。使用 iptables(用于定义规则集的通用表结构)可以精确控制哪些包能通过网络接口。可以使用firewalld
及其图形界面firewall-config
设置此类包过滤器。- 24 配置 VPN 服务器
现今,互联网连接费用低廉,几乎在任何地方都可以上网,但并非所有连接都是安全的。利用虚拟专用网 (VPN),您可以在不安全的网络(例如互联网或 Wi-Fi)内创建安全网络。VPN 可通过不同的方式实现,并用于多种目的。本章重点介绍如何实施 OpenVPN 来通过安全广域网 (WAN) 链接各分支办公室。
- 25 使用 XCA、X 证书和密钥管理器管理 PKI
传统上,您自己的公共密钥基础架构 (PKI) 是使用
openssl
实用程序管理的。对于偏好使用图形工具的管理员,SUSE Linux Enterprise Desktop 15 SP5 提供了 XCA,即 X 证书和密钥管理工具 (http://hohnstaedt.de/xca)。XCA 可创建和管理 X.509 证书、证书请求、RSA、DSA 和 EC 私用密钥、智能卡以及证书吊销列表 (CRL)。XCA 会为您提供创建和管理自己的证书颁发机构 (CA) 所需的一切支持。XCA 包含可用于生成证书或请求的可自定义模板。本章将介绍基本设置。
- 26 使用
sysctl
变量提高网络安全性 Sysctl(系统控制)变量控制某些影响操作系统不同组件(例如 Linux 网络堆栈)的行为的内核参数。可以在
proc
文件系统的/proc/sys
中查找这些参数。可以通过将新值写入参数伪文件来直接更改许多内核参数。但是,这些更改不会持久保存,而会在系统重引导后丢失。因此,我们建议在 sysctl 配置文件中配置所有更改,以便在每次启动系统时应用这些更改。