SUSE Linux Enterprise Server 15 SP6
本指南解释了系统安全性的基本概念,并介绍了本产品随附的安全软件(例如 AppArmor、SELinux 或审计系统)的用法。本指南还可帮助系统管理员强化安装的系统。
出版日期:2024
年 12
月 12
日
- 前言
- 1 安全性和机密性
- I 身份验证
- II 本地安全性
- III 网络安全性
- 21 X Window 系统和 X 身份验证
- 22 使用 OpenSSH 保护网络操作
- 22.1 OpenSSH 概览
- 22.2 服务器强化
- 22.3 口令身份验证
- 22.4 管理用户和主机加密密钥
- 22.5 轮换主机密钥
- 22.6 公共密钥身份验证
- 22.7 无通行口令公共密钥身份验证
- 22.8 OpenSSH 证书身份验证
- 22.9 使用 gnome-keyring 自动进行公共密钥登录
- 22.10 使用 ssh-agent 自动进行公共密钥登录
- 22.11 更改 SSH 私用密钥通行口令
- 22.12 检索密钥指纹
- 22.13 在远程主机上启动 X11 应用程序
- 22.14 代理转发
- 22.15
scp
— 安全复制 - 22.16
sftp
— 安全文件传输 - 22.17 端口转发(SSH 隧道)
- 22.18 更多信息
- 22.19 使用 Fail2Ban 阻止 SSH 暴力破解
- 23 伪装和防火墙
- 24 配置 VPN 服务器
- 25 使用 XCA、X 证书和密钥管理器管理 PKI
- 26 使用
sysctl
变量提高网络安全性
- IV 管制与合规性
- V 通过 AppArmor 限制特权
- VI SELinux
- VII Linux 审计框架
- A GNU licenses
插图清单
- 3.1 NIS 服务器设置
- 3.2 主服务器设置
- 3.3 更改 NIS 服务器目录并同步文件
- 3.4 NIS 服务器映射设置
- 3.5 为 NIS 服务器设置请求权限
- 3.6 设置 NIS 服务器的域和地址
- 5.1 LDAP 目录的结构
- 6.1 Kerberos 网络拓扑
- 7.1 基于 Winbind 的 Active Directory 身份验证的纲要
- 7.2 的主窗口
- 7.3 注册到域中
- 7.4 的配置窗口
- 7.5 确定 Windows 域成员资格
- 7.6 提供管理员身份凭证
- 13.1 使用
cryptctl
检索密钥(不连接 KMIP 服务器的模式) - 16.1 spectre-meltdown-checker 的输出
- 17.1 YaST 安全和强化中心:安全概览
- 19.1 最小 ACL:与权限位相比的 ACL 项
- 19.2 扩展 ACL:与权限位相比的 ACL 项
- 22.1 jail.local 文件设置
- 23.1 iptable:包的可能路径
- 24.1 路由式 VPN
- 24.2 桥接式 VPN - 方案 1
- 24.3 桥接式 VPN - 方案 2
- 24.4 桥接式 VPN - 方案 3
- 25.1 创建新 XCA 数据库
- 37.1
aa-notify Message in GNOME
- 38.1 Adminer 登录页
- 44.1 Linux 审计组件简介
- 44.2 流程图 — 程序与系统调用之间的关系
- 44.3 条形图 — 常见事件类型
表格清单
范例清单
- 2.1 sshd 的 PAM 配置 (
/etc/pam.d/sshd
) - 2.2
auth
部分的默认配置 (common-auth
) - 2.3
account
部分的默认配置 (common-account
) - 2.4
password
部分的默认配置 (common-password
) - 2.5
session
部分的默认配置 (common-session
) - 2.6 pam_env.conf
- 5.1 CN=schema 的摘录
- 5.2 最小 389 Directory Server 实例的配置文件
- 5.3 用于本地管理的
.dsrc
文件 - 5.4 两个提供者复本
- 5.5 四个提供者复本
- 5.6 六个复本
- 5.7 具有只读使用者的六个复本
- 6.1 示例 KDC 配置
/etc/krb5.conf
- 9.1 配置
- 22.1 示例 sshd_config
- 23.1
/etc/modprobe.d/60-nfs.conf
中nfs
内核模块的回调端口配置 - 23.2 用来为 NFS 定义新
firewalld
RPC 服务的命令 - 24.1 VPN 服务器配置文件
- 24.2 VPN 客户端配置文件
- 32.1
aa-unconfined
的输出 - 37.1 学习模式例外:控制对特定资源的访问
- 37.2 学习模式例外:定义项的权限
- 43.1 使用
ls -Z
进行安全环境设置 - 43.2 校验 SELinux 是否正常运行
- 43.3 获取布尔值列表并校验策略访问权限
- 43.4 获取文件环境信息
- 43.5 根目录中各目录的默认环境
- 43.6 使用
ps Zaux
显示进程的 SELinux 设置 - 43.7 查看默认文件环境
- 43.8
/var/log/audit/audit.log
中的示例行 - 43.9 分析审计消息
- 43.10 查看哪些行拒绝了访问
- 43.11 创建允许先前被拒绝的操作的策略模块
- 44.1 默认的 /etc/audit/auditd.conf
- 44.2
auditctl
-s
的示例输出 - 44.3 示例审计规则 — 审计系统参数
- 44.4 示例审计规则 — 文件系统审计
- 44.5 示例审计规则 — 系统调用审计
- 44.6 删除审计规则和事件
- 44.7 使用
auditctl
-l
列出规则 - 44.8 简单审计事件 — 查看审计日志
- 44.9 高级审计事件 — 通过 SSH 登录
- 44.10 /etc/audit/auditd.conf 示例
- 44.11 /etc/audit/plugins.d/syslog.conf 示例
版权所有 © 2006–2024 SUSE LLC 和贡献者。保留所有权利。
根据 GNU 自由文档许可证 (GNU Free Documentation License) 版本 1.2 或(根据您的选择)版本 1.3 中的条款,在此授予您复制、分发和/或修改本文档的权限;本版权声明和许可证附带不可变部分。许可版本 1.2 的副本包含在题为“GNU Free Documentation License”的部分。
有关 SUSE 商标,请参见 https://www.suse.com/company/legal/。所有第三方商标均是其各自所有者的财产。商标符号(®、™ 等)代表 SUSE 及其关联公司的商标。星号 (*) 代表第三方商标。
本指南力求涵盖所有细节,但这不能确保本指南准确无误。SUSE LLC 及其关联公司、作者和译者对于可能出现的错误或由此造成的后果皆不承担责任。