Безопасность имеет много форм в компьютерном окружении. Эта глава дает примеры трех различных типов безопасности: доступ, предупреждение и определение.
Доступ для пользователей обычно поддерживается login или приложением, разработанным для поддержки функции login. В этой главе мы покажем, как расширить login установкой политик модулями PAM. Доступ через сети так же может быть обезопасен политиками, установленными iptables, обычно называемыми firewall. Для приложений, которые не обеспечивают хорошую безопасность, вы можете использовать пакет Stunnel для размещения демона приложения внутри SSL туннеля.
Предупреждению вторжений, таких как троян, помогают такие приложения, как GnuPG, особенно способные поддтвердить подписанные пакеты, которые претерпели изменения TAR архива после создания их менеджером пакетов.
В конце мы коснемся определения при помощи пакета, который сохраняет "сигнатуры" критических файлов (описанных администратором) и затем регенерирует их и сравнивает с файлами, которые были изменены.
Пакет OpenSSL содержит средства управления и библиотеки, связанные с шифрованием. Это полезно для предоставления функций шифрования другим пакетам, особенно OpenSSH, почтовым приложениям и интернет браузерам (для доступа к HTTPS сайтам).
Адрес (HTTP): http://www.openssl.org/source/openssl-0.9.7e.tar.gz
Адрес (FTP): ftp://ftp.openssl.org/source/openssl-0.9.7e.tar.gz
Контрольная сумма: a8777164bca38d84e5eb2b1535223474
Размер: 3.0 MB
Требуемое дисковое пространство: 35 MB
Расчетное время сборки: 1.16 SBU
bc-1.06 (рекомендуется при запуске тестов во время сборки)
Установим OpenSSL запуском следующих команд:
sed 's/^passwd/openssl-passwd/' doc/apps/passwd.pod \
> doc/apps/openssl-passwd.pod &&
rm doc/apps/passwd.pod &&
mv doc/crypto/{,openssl_}threads.pod &&
./config --openssldir=/etc/ssl --prefix=/usr shared &&
sed -i 's%SHLIBDIRS= fips crypto ssl%SHLIBDIRS= crypto ssl%g' Makefile &&
make MANDIR=/usr/share/man
А теперь, как пользователь root:
make MANDIR=/usr/share/man install &&
cp -r certs /etc/ssl
no-rc5 no-idea: Когда добавляется к команде ./config, то уничтожается сборка этих методов кодирования. Так же вам может быть необходима патентная лицензия для использования этих методов в ваших проектах.
rm doc/apps/passwd.pod: Эта команда предупредит OpenSSL от установки собственной passwd man-страницы поверх имеющейся с тем же именем.
mv doc/crypto/{,openssl_}threads.pod: Эта команда предупредит OpenSSL от перезаписи существующих man-страниц от Perl.
sed -i 's%SHLIBDIRS= fips crypto ssl%SHLIBDIRS= crypto ssl%g' Makefile: Эта команда предупредит установку несуществующей библиотеки libfips.
make MANDIR=/usr/share/man; make MANDIR=/usr/share/man install: Эти команды установят OpenSSL с man-страницами в /usr/share/man вместо /etc/ssl/man.
cp -r certs /etc/ssl: Сертификаты должны быть скопированы вручную поскольку скрипт install пропускает этот шаг.
это Perl скрипт, который сканирует все файлы в директории и добавляет символические ссылки к их рассеченным величинам.
средство командной строки для использования различных функций шифрования библиотек шифрования OpenSSL из оболочки. Оно может быть использовано для различных функций, документированных в man 1 openssl.
включает широкий диапазон алгоритмов шифрования, используемых различными стандартами интернет. Сервисы, предоставленные этими библиотеками, используются OpenSSL внедрениями SSL, TLS и S/MIME, а так же они могут быть использованы для внедрения OpenSSH, OpenPGP и других стандартов шифрования.
внедряют протоколы Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1). Предоставляют богатый API, документация по которому может быть найдена запуском команды man 3 ssl.