⑴应用程序:FreeS/WAN
⑵一个FreeS/WAN支持的特别cool的功能是,当其他主机运行FreeS/WAN时随机加密。这允许FreeS/WAN在所有支持随机加密的主机间透明传输。为了这个,每台主机必须使用FreeS/WAN生成一个公钥,这个公钥可以存储于那台主机的一个DNS TXT记录中。当一台主机要与另一个主机建立一个随机加密,希望初始化一个加密连接时,将会通过DNS查询这台主机的公钥并且初始化这个连接。
⑶一开始,你想使用这个功能时,需要为每一台主机生成一个公钥。你可以通过运行如下命令来实现它:
⑷ipsec newhostkey --output /tmp/`hostname`.key
⑸现在你需要添加通过那条命令创建的文件的内容到/etc/ipsec.secrets中。
⑹cat /tmp/`hostname`.key 》》 /etc/ipsec.secrets
⑺然后,你需要生成一个TXT记录来存放你的DNS区域。你可以通过运行如下命令来实现它:
⑻ipsec showhostkey --txt colossus.nnc
⑼现在添加这条记录到你的空间然后重载它。你会证实DNS已经通过这条命令正确的运行了:
⑽ipsec verify
⑾Checking your system to see if IPsec got installed and started correctlyVersion check and ipsec on-path[OK]Checking for KLIPS support in kernel [OK]Checking for RSA private key (/etc/ipsec.secrets [OK]Checking that pluto is running [OK]DNS checks. Looking for TXT in forward map: colossus [OK]Does the machine have at least one non-private address [OK]
⑿现在只需要重启FreeS/WAN-你现在应该能连接到任何支持随机加密的主机上了。但是如果其他的主机想要连接你该怎么办?要授权连接,你需要在你的DNS反向查找区域为你的机器创建一个TXT记录。
⒀你可以通过运行一个简单的命令来生成一条记录:
⒁ipsec showhostkey --txt ...
⒂为你的子网添加这条记录到反向查找区域,然后其他的机器就可以和你的机器初始化随机加密了。伴随着随机加密的使用,所有主机间的传输将被自动加密,同时保护所有的服务。
⒃:消除二进制suid
⒄应用程序:find
⒅如果你的服务器有比你自身多的shell用户,你应该在你的系统上定期的审核setuid和setgid的二进制文件。可能你会惊讶你找到了那么多文件。这里有一个搜寻所有setuid或者setgid的文件的命令位设置:
⒆find / -perm + -type f -exec ls -ld {} ; 》 setuid.txt &
⒇这将会创建一个名为setuid.txt的文件,包含了所有当前系统上匹配的文件的细节。要移除任何你不用的工具的s位,输入:
⒈chmod a-s program
⒉:Mac过滤Host AP
⒊应用程序:iwpriv
⒋你可以在链路层使用iptables或者ebtables执行MAC过滤,那比让Host AP为你做这些更安全。这不仅仅是阻碍指向你的网络传输,也是预防邪恶的人关联你的站。这能帮助组织某些人给你的其他无线客户端造成麻烦的可能,即使他们没有更多的网络通道。
⒌当使用MAC过滤时,很多人会列出一个他们希望允许的无线装置清单,然后拒绝所有其他的。使用iwpriv命令完成这个功能:
⒍iwpriv wlan addmac :::::iwpriv wlan addmac :::aa::fd.。.iwpriv wlan mamd iwpriv wlan mamd
⒎addmac指示添加一个MAC地址到内部表。只要你喜欢你就可以通过执行更多的addmac命令添加更多的MAC地址到表中。然后你需要告诉Host AP对你已经建好的表做什么。mamd 命令告诉Host AP就像使用一个“允许”清单一样使用这个表,并且拒绝所有其他的MAC地址来关联。最终,mamd 命令去除掉所有的关联客户端,强制使它们重新关联。对表中的客户端来说是自动发生的,但是其他的任何企图关联的客户端都是被拒绝的。
⒏有时,你只需要禁止一个或者两个捣蛋鬼,而不是设置一个详细的被允许的硬件规则。如果你需要禁止两三个MAC地址而允许其他所有的地址,尝试这个:
⒐iwpriv wlan addmac :::fa:ca:deiwpriv wlan mamd iwpriv wlan kickmac :::fa:ca:de
⒑像以前一样,你可以不限次数的使用addmac,只要你乐意。Mamd命令会将规则设置为“拒绝”,而如果该MAC恰巧已经关联,kickmac会立刻将特定的MACboot。这也许比只为了禁止一个捣蛋鬼而消除所有关联然后让他们重新邻接要好一些。顺便说一下,如果你想要消除所有的MAC过滤,尝试mamd 。
⒒如果你错误的输入了一个MAC地址,你可以像使用addmac一样使用delmac命令,然后它(可以预见就会从表中删掉这个给出的MAC地址。你有时会需要完全清除当前的MAC表但是保留它当前的规则,使用这条命令:
⒓iwpriv wlan mamd
⒔最后,你可以通过使用/proc浏览正在运行的MAC表:
⒕cat /proc//hostap/wlan/ap_control
⒖iwpriv程序操纵正在运行的Host AP驱动,但是重启后不保留设置。一旦你对你的MAC过滤表感到满意,请确保你在一个rc脚本中添加了相关命令在启动时间运行。
⒗注意,未关联的客户端仍然可以监听网络传输,所以MAC过滤实际上只能预防一点点窃取。为了与被动的监听技巧搏斗,你需要加密你的数据。
⒘上面就是Linux极客需要掌握的系统知识的介绍了,要想成为极客,成为电脑高手,除了需要比别人努力外,还需了解上面介绍的这个技巧,对你成为极客是很有帮助的。