第 III 部分 网络安全性 #

网络透明性是 Unix 系统最重要的特征之一。X（Unix 操作系统的窗口系统）能够鲜明地利用这一特性。使用 X 可以成功完成以下操作：登录到远程主机并启动一个图形程序，然后可以通过网络发送该程序，使其显示在您的计算机上。

在网络环境中，常常需要从远程位置访问主机。如果用户以纯文本形式发送用于身份验证的登录和口令字符串，攻击者可能会截获这些信息，并滥用它们来获取对该用户帐户的访问权限。这样，攻击者便可以打开该用户的所有文件，并可以利用非法帐户获取管理员或 root 访问权限，或侵入其他系统。过去常用 telnet、rsh 或 rlogin 建立远程连接，但这种方式不能采用加密形式或其他安全机制防止窃听。另外还存在其他几种不受保护的通讯通道，例如传统的 FTP 协议和某些远程复制程序（如 rcp）。

只要在网络环境中使用 Linux，您就可以利用内核功能通过操纵网络包将内部网络区域和外部网络区域隔开。Linux netfilter 框架提供了一种建立有效防火墙的方法，可以将不同网络隔开。使用 iptables（用于定义规则集的通用表结构）可以精确控制哪些包能通过网络接口。可以使用 firewalld 及其图形界面 firewall-config 设置此类包过滤器。

现今，因特网连接费用低廉，几乎在任何地方都可以上网，但并非所有连接都是安全的。利用虚拟专用网 (VPN)，您可以在不安全的网络（例如因特网或 Wi-Fi）内创建安全网络。VPN 可通过不同的方式实现，并用于多种目的。本章重点介绍如何使用 OpenVPN 来通过安全广域网 (WAN) 链接各分支办公室。

传统情况下，使用 openssl 实用程序来管理自己的公共密钥基础结构 (PKI)。对于偏好使用图形工具的管理员，SUSE Linux Enterprise 15.3 提供了 XCA，即 X 证书和密钥管理工具 (http://hohnstaedt.de/xca)。

XCA 可创建和管理 X.509 证书、证书请求、RSA、DSA 和 EC 私用密钥、智能卡以及证书吊销列表 (CRL)。XCA 会为您提供创建和管理自己的证书颁发机构 (CA) 所需的一切支持。XCA 包含可用于生成证书或请求的可自定义模板。本章将介绍基本设置。