Linux中安全增强系统SELinux
在大多数用户的眼里,每次登陆Linux系统都必须输入密码,而且除了root之外,一个普通用户不能随意读写其他用户的文件,也不能更改系统设置,应该足够安全了。当了解到PAM那样的用户认证机制之后,更加坚定了对Linux系统安全性的信心,似乎从此以后就可以高枕无忧了。但是遗憾地说,只因PAM是用户认证机制,而不是用户授权机制。真正的用户授权机制在Linux的内核……
Linux中Tcp_wraper和Nsswitch
Tcp_wraper介绍 Tcp_wraper跟iptables一样也是Linux中的一种访问控制。但是跟iptables是一个框架,工作在内核空间;而Tcp_wraper实际上是一个库文件libwrap.so,工作于用户空间,简易的访问控制。当有某个程序在编译时加上了tcp_wraper的库从而就可以使用tcp_wraper进行访问控制。比如受Tcp_wr……
Linux中PAM用户认证机制
日新月异的计算机技术发展了这么多年,用户认证方式也发生了翻天覆地的变化。比如:密码验证、指纹认证、RFID认证、虹膜认证等,踊跃而志,层出不穷。可是不管采用什么样的认证方式,都有一个不可回避的问题,那就是你得实现它! Linux作为一个能够同时提供多种服务的操作系统,是不能只提供一个绕不过去的login命令就能保障其不备非法登录的。类似sshd、ftpd也需……
安全数据传输机制VPN原理介绍
VPN介绍 在现代互联网中,要想安全地传输数据想必懂计算机的都会说使用“VPN”,是的用VPN!VPN(virtual private network,虚拟专用网)就是在两个网络实体之间建立的一种“受保护”的连接,这两个实体可以通过点到点的链路直接相连。“受保护”可以理解为通过使用加密技术防止数据被窃听;通过数据完整性验证防止数据被破坏、篡改;通过认证机制实……
安全连接工具OpenSSH介绍
一、OpenSSH介绍 OpenSSH是SSH(Secure SHell)协议的免费开源实现。SSH协议族可以用来进行远程控制, 或在计算机之间传送文件。而实现此功能的传统方式,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点……
Linux服务:安全加密软件OpenSSL使用
当了解了常用的加密类型和PKI是什么之后,接下来学习OpenSSL就会很容易理解。OpenSSL正式Linux下提供的开源CA服务器,用以签名、颁发证书,管理已签名证书和已吊销证书等。另外当你想使用公网证书时,需要到互联网上专业的CA机构申请,大概一个证书的费用几千块一年,另外如果是泛域名解析应该会更贵一点。如果是企业内部使用的话就可以使用Openssl搭建……
HTTPS对性能影响分析(三)
HTTPS对访问速度的影响 HTTPS在保护用户隐私,防止流量劫持方面发挥着非常关键的作用,但与此同时,HTTPS 也会降低用户访问速度,增加网站服务器的计算资源消耗。在介绍速度优化策略之前,先来看下HTTPS对速度有什么影响。影响主要来自两方面:一是协议交互所增加的网络RTT(round trip time)往返时延,二是加密相关的计算耗时。下面分别介绍一……
HTTPS协议与原理介绍(二)
ECDHE密钥协商,ECDHE算法实现要复杂很多,主要分为两部分:diffie-hellman 算法(简称为 DH)及 ECC(椭圆曲线算术),他们的安全性都是建立在离散对数计算很困难的基础上。 概述DH算法原理 DH(diffie-hellman,赫尔曼)密钥交换协议/算法使用了数学原理,但是很容易理解。DH由Whitfield Diffie和Martin……
HTTPS协议和原理介绍(一)
HTTPS协议概述 HTTPS可以认为是HTTP+TLS,如果不了解HTTP协议和网络知识那么可以先去补一下再回来看HTTPS协议,目前大部分WEB应用和网站都是使用HTTP协议传输的。HTTP协议工作在TCP的80端口,而HTTPS协议工作在TCP的443端口上,它们完全不是同一个协议。 TLS是传输层加密协议,很多人会把HTTPS和网景公司(Netsca……
信息安全之PKI及数字证书介绍(四)
一、前言 前面已经介绍过数据内容加密和数据完整性方面的知识,那么对于身份认证的实现,前面也说了是基于数字签名实现。在介绍数字签名的时候也说了,解密对方的私钥需要有对方的公钥,那么问题来了。我们怎么才能得到对方的公钥呢? 当然你可以选择把公钥放在U盘里,快递过去,也可以自己送过去。这种只能适用于通信双方可以从某种程度上建立联系,比如企业内部邮件来往认证,两个银……
信息安全之数字签名算法介绍(三)
数字签名介绍 上面一篇文章已经介绍了数据安全性、完整性保护措施,以及密钥交换算法介绍。下面说一说数字签名也就是身份验证的一种实现方式。 数字签名的实现通常采用非对称密码与对称密码体系。数字签名的基本方式主要是:信息发送方首先通过运行散列函数生成一个欲发送报文的信息摘要,然后用其私钥对这个信息摘要进行加密以形成发送方的数列签名,这个数字签名将作为报文的附件和报……
信息安全之RSA算法原理浅谈(二)
历史 1976年以前,所有的加密方法都是同一种模式: 1)甲方选择某一种加密规则,对信息进行加密; 2)乙方使用同一种规则,对信息进行解密。 由于加密和解密使用同样规则(简称”密钥”),这被称为“对称加密算法”(Symmetric-key algorithm)。 这种加密模式有一个最大弱点:甲方必须把加密规则告诉乙方,否则无法解密。保存和传递密钥,就成了最头……