@mrz1
2018-01-06T20:14:55.000000Z
字数 10698
阅读 1153
2018-1-2课程笔记(systemctl 加密)
笔记
systemd
POST --> Boot Sequence --> Bootloader --> kernel + initramfs(initrd) --> rootfs--> /sbin/initinit:CentOS 5: SysV initCentOS 6: UpstartCentOS 7: Systemd
Systemd:系统启动和服务器守护进程管理器,负责在系统启动或运行时,激活系统资源,服务器进程和其它进程
Systemd新特性:
- 系统引导时实现服务并行启动
- 按需启动守护进程
- 自动化的服务依赖关系管理
- 同时采用socket式与D-Bus总线式激活服务
- 系统状态快照
核心概念:unit
unit表示不同类型的systemd对象,通过配置文件进行标识和配置;文件中主要包含了系统服务、监听socket、保存的系统快照以及其它与init相关的信息
配置文件:
/usr/lib/systemd/system:每个服务最主要的启动脚本设置,类似于之前的/etc/init.d/
/run/systemd/system:系统执行过程中所产生的服务脚本,比上面目录优先运行
/etc/systemd/system:管理员建立的执行脚本,类似于/etc/rc.d/rcN.d/Sxx类的功能,比上面目录优先运行
Unit类型
- Systemctl –t help 查看unit类型
- Service unit: 文件扩展名为.service, 用于定义系统服务
- Target unit: 文件扩展名为.target,用于模拟实现运行级别
- Device unit: .device, 用于定义内核识别的设备
- Mount unit: .mount, 定义文件系统挂载点
- Socket unit: .socket,用于标识进程间通信用的socket文件,也可在系统启动时,延迟启动服务,实现按需启动
- Snapshot unit: .snapshot, 管理系统快照
- Swap unit: .swap, 用于标识swap设备
- Automount unit: .automount,文件系统的自动挂载点
- Path unit: .path,用于定义文件系统中的一个文件或目录使用,常用于当文件系统变化时,延迟激活服务,如:spool 目录
特性
关键特性:
- 基于socket的激活机制:socket与服务程序分离
- 基于d-bus的激活机制:
- 基于device的激活机制:
- 基于path的激活机制:
- 系统快照:保存各unit的当前状态信息于持久存储设备中向后兼容sysvinit脚本
不兼容:
- systemctl命令固定不变,不可扩展
- 非由systemd启动的服务,systemctl无法与之通信和控制
管理服务
管理系统服务:CentOS 7: service unit
注意:能兼容早期的服务脚本
命令:systemctl COMMAND name.service启动:service name start ==> systemctl start name.service
- 停止:service name stop ==> systemctl stop name.service
- 重启:service name restart ==> systemctl restart name.service
状态:service name status ==> systemctl status name.service
条件式重启:已启动才重启,否则不做操作
service name condrestart ==> systemctl try-restart name.service- 重载或重启服务:先加载,再启动
systemctl reload-or-restart name.service - 重载或条件式重启服务:
systemctl reload-or-try-restart name.service - 禁止自动和手动启动:
systemctl mask name.service - 取消禁止:
systemctl unmask name.service
服务查看
- 查看某服务当前激活与否的状态:
systemctl is-active name.service - 查看所有已经激活的服务:
systemctl list-units --type|-t service - 查看所有服务:
systemctl list-units --type service --all|-a
chkconfig命令的对应关系:
- 设定某服务开机自启:
chkconfig name on ==> systemctl enable name.service - 设定某服务开机禁止启动:
chkconfig name off ==> systemctl disable name.service - 查看所有服务的开机自启状态:
chkconfig --list ==> systemctl list-unit-files --type service - 用来列出该服务在哪些运行级别下启用和禁用
chkconfig sshd–list ==>ls /etc/systemd/system/*.wants/sshd.service - 查看服务是否开机自启:
systemctl is-enabled name.service - 其它命令:查看服务的依赖关系:
systemctl list-dependencies name.service - 杀掉进程:
systemctl kill unitname
服务状态
- systemctl list-unit-files --type service --all显示状态
- loaded:Unit:配置文件已处理
- active(running):一次或多次持续处理的运行
- active(exited):成功完成一次性的配置
- active(waiting):运行中,等待一个事件
- inactive:不运行
- enabled:开机启动
- disabled:开机不启动
- static:开机不启动,但可被另一个启用的服务激活
systemctl 命令示例
- 显示所有单元状态
systemctl或systemctl list-units - 只显示服务单元的状态
systemctl --type=service ==>systemctl -t=service - 显示sshd服务单元
systemctl –l status sshd.service - 验证sshd服务当前是否活动
systemctl is-active sshd - 启动,停止和重启sshd服务
systemctl start sshd.service
systemctl stop sshd.service
systemctl restart sshd.service - 重新加载配置
systemctl reload sshd.service - 列出活动状态的所有服务单元
systemctl list-units --type=service - 列出所有服务单元
systemctl list-units --type=service --all - 查看服务单元的启用和禁用状态
systemctl list-unit-files --type=service - 列出失败的服务
systemctl --failed --type=servicesy - 列出依赖的单元
systemctl list-dependencies sshd - 验证sshd服务是否开机启动
systemctl is-enabled sshd - 禁用network,使之不能自动启动,但手动可以
systemctl disable network - 启用network
systemctl enable network - 禁用network,使之不能手动或自动启动
systemctl mask network - 启用network
systemctl unmask network
service unit文件格式
- /etc/systemd/system:系统管理员和用户使用(优先级高)
/usr/lib/systemd/system:发行版打包者使用 - 以“#” 开头的行后面的内容会被认为是注释
- 相关布尔值,1、yes、on、true 都是开启,0、no、off、false 都是关闭
- 时间单位默认是秒,所以要用毫秒(ms)分钟(m)等须显式说明
service unit file文件通常由三部分组成:
[Unit]:定义与Unit类型无关的通用选项;用于提供unit的描述信息、unit行为及依赖关系等
[Service]:与特定类型相关的专用选项;此处为Service类型
[Install]:定义由“systemctlenable”以及“systemctldisable”命令在实现服务启用或禁用时用到的一些选项Unit段的常用选项:
Description:描述信息
After:定义unit的启动次序,表示当前unit应该晚于哪些unit启动,其功能与Before相反
Requires:依赖到的其它units,强依赖,被依赖的units无法激活时,当前unit也无法激活
Wants:依赖到的其它units,弱依赖
Conflicts:定义units间的冲突关系
unit文件格式
Service段的常用选项:
Type:定义影响ExecStart及相关参数的功能的unit进程启动类型
simple:默认值,这个daemon主要由ExecStart接的指令串来启动,启动后常驻于内存中
forking:由ExecStart启动的程序透过spawns延伸出其他子程序来作为此daemon的主要服务。原生父程序在启动结束后就会终止
oneshot:与simple类似,不过这个程序在工作完毕后就结束了,不会常驻在内存中
dbus:与simple类似,但这个daemon必须要在取得一个D-Bus的名称后,才会继续运作.因此通常也要同时设定BusNname= 才行
notify:在启动完成后会发送一个通知消息。还需要配合NotifyAccess 来让Systemd 接收消息
idle:与simple类似,要执行这个daemon必须要所有的工作都顺利执行完毕后才会执行。这类的daemon通常是开机到最后才执行即可的服务EnvironmentFile:环境配置文件
- ExecStart:指明启动unit要运行命令或脚本的绝对路径
- ExecStartPre:ExecStart前运行
- ExecStartPost:ExecStart后运行
- ExecStop:指明停止unit要运行的命令或脚本
Restart:当设定Restart=1 时,则当次daemon服务意外终止后,会再次自动启动此服务
Install段的常用选项:
Alias:别名,可使用systemctlcommand Alias.service
RequiredBy:被哪些units所依赖,强依赖
WantedBy:被哪些units所依赖,弱依赖
Also:安装本服务的时候还要安装别的相关服务
注意:对于新创建的unit文件,或者修改了的unit文件,要通知systemd重载此配置文件,而后可以选择重启systemctl daemon-reload
服务Unit文件示例:
vim /etc/systemd/system/bak.service[Unit]Description=backup /etcRequires=atd.service[Service]Type=simpleExecStart=/bin/bash -c "echo /testdir/bak.sh|at now"[Install]WantedBy=multi-user.target
- systemctl daemon-reload
- systemctl start bak
运行级别
target units:unit配置文件:.targetls /usr/lib/systemd/system/*.targetsystemctl list-unit-files --type target --all运行级别:0 ==> runlevel0.target, poweroff.target1 ==> runlevel1.target, rescue.target2 ==> runlevel2.target, multi-user.target3 ==> runlevel3.target, multi-user.target4 ==> runlevel4.target, multi-user.target5 ==> runlevel5.target, graphical.target6 ==> runlevel6.target, reboot.target查看依赖性:systemctl list-dependencies graphical.target级别切换:initN ==> systemctl isolate name.targetsystemctl isolate multi-user.target注:只有/lib/systemd/system/*.target文件中AllowIsolate=yes 才能切换(修改文件需执行systemctl daemon-reload才能生效)查看target:runlevel; who -rsystemctl list-units --type target获取默认运行级别:/etc/inittab==> systemctl get-default修改默认级别:/etc/inittab==> systemctl set-default name.targetsystemctl set-default multi-user.targetls –l /etc/systemd/system/default.target其它命令切换至紧急救援模式:systemctl rescue切换至emergency模式:systemctl emergency其它常用命令:传统命令init,poweroff,halt,reboot都成为systemctl的软链接关机:systemctl halt、systemctl poweroff重启:systemctl reboot挂起:systemctl suspend休眠:systemctl hibernate休眠并挂起:systemctl hybrid-sleep
CentOS7引导顺序
- UEFi或BIOS初始化,运行POST开机自检
- 选择启动设备
- 引导装载程序, centos7是grub2
- 加载装载程序的配置文件:
/etc/grub.d/
/etc/default/grub
/boot/grub2/grub.cfg - 加载initramfs驱动模块加载内核选项
- 内核初始化,centos7使用systemd代替init
- 执行initrd.target所有单元,包括挂载/etc/fstab
- 从initramfs根文件系统切换到磁盘根目录
- systemd执行默认target配置,配置文件/etc/systemd/system/default.target
- systemd执行sysinit.target初始化系统及basic.target准备操作系统
- systemd启动multi-user.target下的本机与服务器服务
- systemd执行multi-user.target下的/etc/rc.d/rc.local
- Systemd执行multi-user.target下的getty.target及登录服务
- systemd执行graphical需要的服务
设置内核参数
- 设置内核参数,只影响当次启动
- 启动时,在linux16行后添加systemd.unit=desired.target
- systemd.unit=emergency.target
- systemd.unit=rescue.target
- rescue.target 比emergency 支持更多的功能,例如日志等
- systemctl default 进入默认target
启动排错
- 文件系统损坏
先尝试自动修复,失败则进入emergency shell,提示用户修复 - 在/etc/fstab不存在对应的设备和UUID
等一段时间,如不可用,进入emergency shell - 在/etc/fstab不存在对应挂载点
systemd尝试创建挂载点,否则提示进入emergency shell. - 在/etc/fstab不正确的挂载选项
提示进入emergency shell
破解CentOS7的root口令方法一
- 启动时任意键暂停启动
- 按e键进入编辑模式
- 将光标移动linux16开始的行,添加内核参数rd.break
- 按ctrl-x启动
- mount –o remount,rw /sysroot
- chroot /sysroot
- passwd root
- touch /.autorelabel
- exit
- reboot破解
破解CentOS7的root口令方法二
- 启动时任意键暂停启动
- 按e键进入编辑模式
- 将光标移动linux16开始的行,改为rw init=/sysroot/bin/sh
- 按ctrl-x启动
- chroot /sysroot
- passwd root
- touch /.autorelabel
- exit
- reboot
centous7设置默认启动内核,并删除
配置文件 :/boot/grub2/grub.cfg
修改:/etc/default/grub GRUB_DEFAULT=saved saved改为0
grub2-mkconfig -o /boot/grub2/grub.crg 重新生成
删除没用的内核
/boot/ 和 /lib/modules/ 里面内核版本的东西 3.10.0.xxxx
grub2-mkconfig -o /boot/grub2/grub.crg 重新生成
修复GRUB2
- GRUB"the Grand Unified Bootloader"引导提示时可以使用命令行界面可从文件系统引导
- 主要配置文件/boot/grub2/grub.cfg
- 修复配置文件grub2-mkconfig > /boot/grub2/grub.cfg
- 修复grub grub2-install /dev/sdaBIOS环境grub2-install UEFI环境
- 调整默认启动内核vim /etc/default/grubGRUB_DEFAULT=0
删除boot下所有
- 进入救援模式
- 输入 1 continue
- 2 进入shell
- chroot /mnt/sysimage
- mkdir /mnt/cdroom
- mount -o /dev/cdroom /mnt/cdroom
- rpm -ivh /mnt/cdroom/Packages/kernel-3.10.0.693.e17.x86.rpm --force
- grub2-install /dev/sda
- 修复配置文件grub2-mkconfig > /boot/grub2/grub.cfg
- exit
- reboot
练习
- 为编译安装的httpd服务,实现service unit文件
- 破解centos7 口令
- 修改默认的启动内核为新编译内核
- 启动时临时禁用SELinux
- 启动时进入emergency模式
- 卸载编译安装的新内核
加密和安全
墨菲定律
- 墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的,原话:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会做出这种选择
- 主要内容:
任何事都没有表面看起来那么简单
所有的事都会比你预计的时间长
会出错的事总会出错
如果你担心某种情况发生,那么它就更有可能发生
安全机制
| 信息安全防护的目标 | 内容 |
|---|---|
| 保密性 | Confidentiality |
| 完整性 | Integrity |
| 可用性 | Usability |
| 可控制性 | Controlability |
| 不可否认性 | Non-repudiation |
| 安全防护环节 | 内容 |
|---|---|
| 物理安全 | 各种设备/主机、机房环境 |
| 系统安全 | 主机或设备的操作系统 |
| 应用安全 | 各种网络服务、应用程序 |
| 网络安全 | 对网络访问的控制、防火墙规则 |
| 数据安全 | 信息的备份与恢复、加密解密 |
| 管理安全 | 各种保障性的规范、流程、方法 |
| 安全攻击 | STRIDE |
|---|---|
| 假冒 | Spoofing |
| 篡改 | Tampering |
| 否认 | Repudiation |
| 信息泄漏 | Information Disclosure |
| 拒绝服务 | Denial of Service |
| 提升权限 | Elevation of Privilege(在早期的centos5中gcc有BUG) |
安全设计基本原则
- 使用成熟的安全系统
- 以小人之心度输入数据(sql注入)
- 外部系统是不安全的
- 最小授权
- 减少外部接口
- 缺省使用安全模式
- 安全不是似是而非
- 从STRIDE思考
- 在入口处检查
- 从管理上保护好你的系统
安全算法
- 常用安全技术
- 认证 -> 授权 -> 审计 -> 安全通信
- 密码算法和协议:
- 对称加密 -> 公钥加密 -> 单向加密 -> 认证协议
Linux系统:OpenSSL, gpg(pgp协议的实现)
加密需要
不加密流量的易受攻击性
- 密码/数据嗅探
- 数据操作
- 验证操作
- 相当于邮寄明信片
不安全的传统协议
- telnet、FTP、POP3等等;不安全密码
- http、smtp、NFS等等;不安全信息
- Ldap、NIS、rsh等等;不安全验证
对称加密算法
- 对称加密:加密和解密使用同一个密钥
- DES:Data Encryption Standard,56bits
3DES:(三遍DES加密就是3DES)
AES:Advanced (128, 192, 256bits)
Blowfish,Twofish
IDEA,RC6,CAST5 - 特性:
- 1、加密、解密使用同一个密钥,效率高
2、将原始数据分割成固定大小的块,逐个进行加密 - 缺陷:
- 1、密钥过多
2、密钥分发
3、数据来源无法确认
非对称加密算法
- 公钥加密:密钥是成对出现
- 公钥:公开给所有人;public key
私钥:自己留存,必须保证其私密性;secret key
特点:用公钥加密数据,只能使用与之配对的私钥解密;反之亦然
- 功能:
- 数字签名:主要在于让接收方确认发送方身份
对称密钥交换:发送方用对方的公钥加密一个对称密钥后发送给对方
数据加密:适合加密较小数据
缺点:密钥长,加密解密效率低下
算法: RSA(加密,数字签名),DSA(数字签名),ELGamal
基于一对公钥/密钥对
用密钥对中的一个加密,另一个解密实现加密:
接收者:生成公钥/密钥对:P和S 公开公钥P,保密密钥S
发送者:使用接收者的公钥来加密消息M将P(M)发送给接收者
接收者:使用密钥S来解密:M=S(P(M))
-
实现数字签名:
-
发送者:
生成公钥/密钥对:P和S
公开公钥P,保密密钥S
使用密钥S来加密消息M
发送给接收者S(M)
接收者:
使用发送者的公钥来解密M=P(S(M))
- 结合签名和加密
- 分离签名
数字证书
单向散列
- 将任意数据缩小成固定大小的“指纹”
- 任意长度输入
- 固定长度输出
- 若修改数据,指纹也会改变(“不会产生冲突”)
- 无法从指纹中重新生成数据(“单向”)
功能:数据完整性
常见算式: md5:128bits、sha1:160bits、sha224sha256、sha384、sha512
md5 fileshalsum filesha512 file[root@aliyun ~]#sha1sum 9.sh null.txt > all.sha1[root@aliyun ~]#sha1sum -c all.sha19.sh: OKnull.txt: OK[root@aliyun ~]#echo " " >> null.txt[root@aliyun ~]#sha1sum -c all.sha1 <==> shalsum --check all.sha1 比较文件hash9.sh: OKnull.txt: FAILEDsha1sum: WARNING: 1 computed checksum did NOT match
hash(data)=digest 摘要
1. data不同,摘要不同
2. 摘要仙童,data相同
3. 不论data大小,digest大小之和算法有关
4. hash算法,不可逆
- 常用工具
- md5sum | sha1sum [ --check ] file
- openssl、gpg
- rpm -V
密钥交换
密钥交换:IKE(Internet Key Exchange )
公钥加密:
DH (Deffie-Hellman):生成会话密钥,参考DH:
1、A: a,p协商生成公开的整数a,大素数p (只能被自己整除的数是素数)B: a,p2、A:生成隐私数据:x (x<p ),计算得出a^x%p,发送给BB:生成隐私数据:y,计算得出a^y%p,发送给A3、A:计算得出[(a^y%p)^x] %p = a^xy%p,生成为密钥B:计算得出[(a^x%p)^y] %p = a^xy%p,生成为密钥
应用程序:RPM
文件完整性的两种实施方式
- 被安装的文件
- MD5单向散列
rpm --verify package_name (or -V)
rpm -V package_name //查看元数据是否发生变化 - 发行的软件包文件
- GPG公钥签名
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-....(公钥路径)
rpm --checksig pakage_file_name (or -K)
rpm -K /misc/cd/Packages/bash-4.2.46-28.el7.x86_64.rpm 查看签名完整性
使用gpg实现对称加密
- 对称加密file文件
- gpg -c filels file.gpg
- 在另一台主机上解密file
- gpg -o file -d file.gpg
使用gpg工具实现公钥加密
- 在hostB主机上用公钥加密,在hostA主机上解密
- 在hostA主机上生成公钥/私钥对
gpg --gen-key (加密算法 长度 有效期 name email )
文件放到家目录 .gnupg/ 目录里面 - 在hostA主机上查看公钥
gpg --list-keys - 在hostA主机上导出公钥到wang.pubkey
gpg -a --export -o wang.pubkey
cat wang.pubkey - 从hostA主机上复制公钥文件到需加密的B主机上
scp wang.pubkey name@ip:B - 在需加密数据的hostB主机上生成公钥/私钥对(wangxiaochunfile)
gpg --list-keys
gpg --gen-key - 在hostB主机上导入公钥
gpg --import wang.pubkey
gpg --list-keys - 用从hostA主机导入的公钥,加密hostB主机的文件file,生成file.gpg
gpg -e -r wangxiaochunfile file file.gpg - 复制加密文件到hostA主机
scp file.gpg name@ip:A - 在hostA主机解密文件
gpg -d file.gpg
gpg -o file -d file.gpg - 删除公钥和私钥
gpg --delete-keys wangxiaochun
gpg --delete-secret-keys wangxiaochun
