深入理解 Linux 安全机制:SELinux 与 SSH 密钥登录

最新推荐文章于 2025-12-11 20:49:41 发布
原创 最新推荐文章于 2025-12-11 20:49:41 发布 · 468 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #Linux #服务器 #运维 #Linux命令

一、SELinux:安全性增强的 Linux

1.1 SELinux 概述

SELinux(Security Enhanced Linux)是由美国国家安全局(NSA)开发的一种构建于 Linux 内核之上的安全架构。它提供了灵活的强制性访问控制(MAC)机制,显著提升了 Linux 系统的安全性,能够有效防御未知攻击,其安全性能相当于 B1 级军事安全标准。

信息安全评估标准共分为 4 类(D、C、B、A),7 个级别:D、C1、C2、B1、B2、B3、A。SELinux 已被整合到 Linux 2.6 及以上版本的内核中。

1.1.1 SELinux 的作用

在没有 SELinux 保护的传统 Linux 系统中,一旦服务器被入侵,攻击者可能获得最高权限。而启用 SELinux 后,即使某个服务(如 Apache)被攻陷,攻击者也仅限于该服务的权限范围内,无法获取整个系统的控制权。

例如,如果 Apache 服务器被入侵,攻击者只能访问 httpd 服务的相关资源,而系统的 root 权限和其他关键资源仍然受到保护。

1.2 SELinux 的核心特点

1.2.1 强制性访问控制(MAC)

SELinux 实现了对系统资源(文件、目录、端口等)的全面访问控制。所有访问行为都基于管理员预先设定的策略,普通用户无法修改这些策略。

1.2.2 基于角色的访问控制(RBAC)

SELinux 通过角色划分为用户分配最小权限。即使是 root 用户,如果未被授予 sysadm_r 角色,也无法执行系统管理操作。

1.2.3 类型强制(Type Enforcement)

SELinux 为进程和文件分配不同的安全标签(域和类型),并规定某个域的进程只能访问特定类型的文件。例如:

- 进程 `vim` 被赋予域 `vim_t`
- 文件 `a.txt` 被赋予类型 `T1`
- 文件 `b.txt` 被赋予类型 `T2`

通过策略配置,可以限制 `vim_t` 域只能读取 `T1` 类型的文件。

1.3 SELinux 的执行模式

SELinux 支持三种运行模式:

1. Enforcing(强制模式):严格执行安全策略,拒绝所有未授权的操作。
2. Permissive(警告模式):记录未授权的操作,但不阻止其执行。
3. Disabled(关闭模式):完全禁用 SELinux。

1.4 SELinux 工作原理

当进程(Subject)尝试执行操作时,SELinux 会查询策略数据库,根据规则决定是否允许该操作。其决策流程如下:

1. 进程发起操作请求。
2. SELinux 检查策略数据库。
3. 根据策略规则允许或拒绝操作。

1.5 SELinux 状态管理

查看当前状态

getenforce

临时切换状态

setenforce 0  # 切换到 Permissive 模式
setenforce 1  # 切换到 Enforcing 模式

永久启用 SELinux
编辑 `/etc/sysconfig/selinux` 文件,设置:
SELINUX=enforcing
启用后需重启系统,并等待文件标签更新完成。

二、SSH 基于密钥的自动登录

2.1 密钥交换登录原理

SSH 密钥登录是一种比密码登录更安全且便捷的身份验证方式。其交互过程如下:

1. 客户端向服务器发送登录请求。
2. 服务器检查用户目录下的 `authorized_keys` 文件,获取公钥。
3. 服务器生成随机数,并用公钥加密后发送给客户端。
4. 客户端使用私钥解密,并将结果返回服务器。
5. 服务器验证解密结果,成功则允许登录。

2.2 Linux 客户端配置示例

生成密钥对

ssh-keygen -t rsa -P '' -f /root/.ssh/id_rsa
- `-t rsa`:指定密钥类型为 RSA。
- `-P ':设置空密码,方便自动化(但降低安全性)。
- `-f`:指定密钥保存路径。

分发公钥到服务器

ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.10.23
 

测试登录

ssh root@192.168.10.23
 

2.3 Windows 客户端配置(Xshell)

1. 打开 Xshell,进入【工具】→【用户密钥管理者】→【生成】。
2. 选择 RSA 算法,生成密钥对。
3. 将公钥内容追加到服务器的 `~/.ssh/authorized_keys` 文件中。
4. 在 Xshell 连接设置中选择“公钥认证”,并指定私钥文件。

三、总结

3.1 SELinux 的价值与适用场景

SELinux 通过强制访问控制、角色管理和类型强制等机制,极大地提升了 Linux 系统的安全性。适用于对安全性要求较高的服务器环境,如金融、军事、政府等领域。

3.2 SSH 密钥登录的优势

- 安全性高:避免了密码泄露和暴力破解风险。
- 便捷性强:支持自动化脚本和无人值守登录。
- 兼容性好:支持 Linux、Windows 等多种平台。

 3.3 综合建议

1. 在生产环境中建议启用 SELinux,并设置为 Enforcing 模式。
2. 对于远程管理,优先使用 SSH 密钥登录,避免使用密码登录。
3. 定期审计 SELinux 策略和 SSH 密钥,确保系统安全处于可控状态。

通过结合 SELinux 和 SSH 密钥登录,可以构建一个既安全又高效的 Linux 系统管理环境。

Peterrrr0911
关注
服务器初始化,SELinux 规则设置 SSH 密钥登录配置
qq_57693143的博客
08-26 928
selinux 的三种执行模式enforcing 强制模式permissive 警告模式disabled 关闭 selinux②生成密钥ssh-keygen -t rsa -P '' -f /root/.ssh/id_rsa写入目标服务器进行免密登录服务器初始化配置yum源安装必备工具检查网络连接配置主机名,时间,防火墙规则。
linux 无法配置ssh自动登录的解决--selinux
weixin_33725126的博客
12-08 442
There is a bug in CentOS 6 / SELinux that results in all client presented certificates to be ignored when SELinux is set to Enforcing. To fix this simply: 解决:执行命令 restorecon -R -v /root/.ssh 即可! 转载于...
32、Linux安全SSH密钥认证SELinux基础
08-28 65
本文介绍了Linux系统中两种重要的安全机制SSH密钥认证和SELinux基础配置。SSH密钥认证通过生成密钥对、保护私钥、传输公钥等方式增强远程连接的安全性;SELinux则通过强制访问控制提供内核级别的安全防护,包括SELinux模式配置、用户上下文管理、布尔设置以及文件上下文的调整。文章还提供了相关命令和操作步骤,帮助系统管理员提升系统的整体安全性。
Linux设置SSH免密码密钥登录
rufeike的博客
03-26 2590
默认保存在 Xshell 的密钥管理器中,也可导出为 .ppk 或 .pem 格式(用于其他客户端如 PuTTY)。检查/var/log/secure(CentOS)或/var/log/auth.log(Debian)中的错误信息。系统会提示输入密码,输入后公钥会自动添加到服务器的~/.ssh/authorized_keys文件中。点击 保存为文件 (Save as File),导出 .pub 文件(用于上传到服务器)。可选,但建议设置(即使私钥泄露,仍需密码才能使用)。
LinuxLinux 中设置 SSH 免密码(密钥登录
彬彬侠的博客
05-20 3297
SSH 免密码登录通过公钥认证实现:在客户端生成一对密钥(公钥和私钥)。将公钥添加到目标服务器的 ~/.ssh/authorized_keys 文件中。客户端使用私钥登录,无需输入密码。
LinuxSELinux 概述、SSH 密钥登录服务器初始化
2501_93012470的博客
08-26 1135
selinux安全增强型,通过不同的执行模式来控制对系统的资源访问权限三种核心模式:enforcing,permissive,disabledssh 公钥和私钥登录:是登录一种非对称加密技术的一个认证, 将公钥部署到目标服务器上,本地使用对应的私钥验证身份,无需输入密码即可安全登录服务器初始化① 安装yum 网络源② 安装运维的必备工具③ 网络验证④ 配置主机名 并且 设置主机映射 为了加快主机之间访问速度⑤ 时间同步⑥ 防火墙设置,安装并且设置开放端口。
linux:ssh登录配置
qq_73704466的博客
10-20 1383
基于口令的认证(password认证):客户端向服务器发出password认证请求,将用户名和密码加密后发 送给服务器服务器将该信息解密后得到用户名和密码的明文,设备上保存的用户名和密码进行比较, 并返回认证成功或失败消息。注:服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证 的方法列表。3、客户端收到报文后,解析该数据包,如果服务器的协议版本号比自己的低,且客户端能支持服务器端的 低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。
32、Linux安全:基于密钥SSH认证SELinux配置
9q8w7e6r5的博客
08-31 51
本文详细介绍了Linux系统中基于密钥SSH认证和SELinux安全机制的配置方法。通过生成和保护SSH密钥对、传输公钥到远程系统,以及配置SELinux的状态、用户角色、布尔设置和文件上下文,帮助用户构建更加安全的系统环境。结合SSH密钥认证和SELinux的综合应用,能够有效防止安全漏洞,保护服务器和数据安全
从原理到实践:深入探索Linux安全机制(二)
凡夫编程
03-22 1818
本文将从用户和权限管理、文件系统权限、SELinux、防火墙、加密和安全传输、漏洞管理和更新等几个Linux安全机制中的重要方面,深入探索其工作原理和使用方法。在当今数字化时代,网络安全问题备受关注,Linux作为广泛应用的操作系统之一,其安全性至关重要。无论你是Linux系统的初学者还是资深管理员,本文都将为你提供宝贵的经验和启发,帮助你在保护网络安全的道路上行稳致远。
79、提升 Linux 安全性:SELinux 网络安全全解析
u9v0w的博客
11-29 3
本文深入解析了如何通过SELinux增强Linux系统安全性,涵盖文件上下文设置、端口配置、布尔值管理及常见问题解决。同时介绍了使用nmap进行网络服务审计、iptables和firewalld防火墙配置、SSH远程访问安全策略,并强调了日志监控安全分析的重要性。结合实际操作命令安全建议,帮助用户构建多层次的Linux网络安全防护体系,适用于服务器部署安全管理场景。
深入理解Linux安全漏洞:风险评估缓解措施的专业指南
[深入理解Linux安全漏洞:风险评估缓解措施的专业指南](https://software-dl.ti.com/processor-sdk-linux/esd/docs/latest/_images/Graphic_software_stacks_DRM.png) # 1. Linux安全漏洞概述 ## 1.1 Linux安全...
Linux安全之文件系统,SSHSELinux
baidu_16824131的专栏
08-08 1203
目录 〔1〕基本防护 〔2〕文件系统安全 〔3〕用户切换提权 〔4〕ssh访问控制 〔5〕SELinux安全防护 〔1〕基本防护 用户账户安全 设置账号有效期 命令工具 chage 命令用法 chage 选项 账户 选项 -l ...
深入理解Linux文件权限:安全策略最佳实践
本文深入探讨了Linux文件权限的基础知识、理论、管理命令、最佳实践、高级技巧以及未来展望。文章首先介绍了Linux文件系统的结构、权限、所有权和链接类型,接着详细阐述了文件权限模型,包括用户类别和特殊权限位。...
第十一篇:Day31-33 前端安全性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 821
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
27、Python压缩备份安全指南:从zipfile到AES-256加密,生产级自动化备份全方案
最新发布
专注将Python与AI工程化落地。擅用测试思维拆解复杂模型,聚焦数据质量、自动化评估与管道优化。
12-11 683
本文介绍了Python自动化压缩备份的全套解决方案,从基础到高级应用,涵盖以下核心内容: 需求分析:针对个人开发、企业数据、服务器备份等场景,对比传统手动备份Python自动化方案的优劣 技术选型:详细对比zipfile、pyzipper和7z命令行等方案,提供决策树指导选择最优方案 基础实现: 使用zipfile标准库实现单个文件和目录的压缩 通过生成器模式优化大目录遍历,降低内存占用 保留完整目录结构的递归压缩方法 安全进阶: 重点推荐AES-256加密方案(pyzipper或7z) 强调避免使用存在
AI安全威胁:对抗样本到数据隐私全解析(13种安全威胁及防护)
m0_62396717的博客
12-11 514
本文系统梳理了大模型面临的安全隐私威胁,包括常规安全威胁(对抗样本攻击、后门攻击、投毒攻击)和新型安全威胁(内容安全问题、恶意使用风险、资源消耗攻击等)。同时分析了数据隐私风险(成员推断、数据提取等)和知识产权威胁(模型萃取、提示词窃取)。针对这些威胁,提出了包括对抗训练、数据清洗、差分隐私等在内的多层次防御体系,强调需要技术、法规等多角度协同应对。随着攻击手段不断演进,防御措施也需持续更新完善。
【Android逆向工程】第22章:白盒加密密钥提取
w987333120的博客
12-06 100
本文介绍了白盒加密的原理实现,重点对比了标准AES白盒AES的差异。白盒加密通过将密钥融入算法实现(如查找表)来保护密钥安全,使其在不可信环境中仍能运行。主要内容包括: 白盒加密核心原理:使用查找表隐藏密钥,结合输入/输出编码技术 标准AES流程分析:详细拆解AES-128的加密步骤 白盒AES实现:将SubBytesAddRoundKey合并为查找表 对抗技术:介绍了差分分析等密钥提取方法 实战案例:分析白盒AES的具体实现方式 该技术广泛应用于移动应用保护,但存在内存占用大、可能被逆向分析等缺点。
指挥中心 “协同密码”:KVM 坐席协作系统如何破解数据壁垒安全难题?
2409_89316373的博客
12-09 924
KVM 坐席协作系统普遍采用全 IP 或光纤架构,以分布式技术为核心支撑,通过 KVM 坐席输入节点、KVM 坐席输出节点、网络交换机(或 KVM 主机)、显示终端及一套键盘鼠标的组合部署,实现跨系统、跨设备的数据汇集管理、高效协调、实时操控、信息沟通安全管控,最终达成 “人机分离”“一人多机” 的智能化应用模式,适配指挥中心多场景业务需求。未来,指挥中心将持续作为单位信息化建设的核心,朝着 “远程可控、现场可视、信息互链、决策智能、应用宽泛” 的方向升级,成为支撑单位高效运转的指挥中枢。
悬镜安全通过可信AI云 大模型安全扫描产品能力评估
分享软件供应链安全最新技术与最佳实践
12-09 524
在人工智能驱动的未来,安全不再是可选项,是企业生存和发展的基石。
Linux系统安装SSH密钥配置教程
1. **生成密钥对**:在本地计算机(通常是Windows或MacOS主机)上生成SSH密钥对,使用`ssh-keygen`命令。 2. **公钥复制**:将生成的公钥内容复制到目标Linux服务器的`~/.ssh/authorized_keys`文件中。这一步可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值