每个行业中的企业都要依赖由标准制定团体（比如美国医疗协会，AMA；电气与电子工程师协会，IEEE）设定的法规和规则。这同样也适用于信息安全。很多安全顾问和卖方都认同标准安全模式，即 CIA，或称“保密、完整及可用”。这个三层的模式是一般被人们接受的评估敏感信息并建立安全策略的元素。下面我们将进一步详细描述 CIA 模式：

物理控制是在定义的结构内实施保证安全的方法，用来阻止或者防止对敏感资料的未授权访问。物理控制示例包括：

技术控制使用技术作为基础来控制对整个物理构架和网络中名敏感数据的访问和使用。技术控制影响范围很大，包括以下技术方面：

管理控制定义安全性中人的因素。它们涉及机构中所有级别的个人，并决定哪些用户可以访问哪些资源和信息：

弱点评估可分为两类：“由外而内”和“由内而外”。

当进行“由外而内”的弱点评估时，您要从外部对抗您的系统。身处公司之外为您提供了黑客的视角。您看到的就是黑客看到的 — 公开路由的 IP 地址、您 DMZ 中的系统、您防火墙的对外接口等等。DMZ 代表“停火区”，对应那些处于可信内部网络，比如企业专用 LAN和不可信的外部网络，比如公共互联网之间的计算机或者小的子网。通常 DMZ 包括可连接到内部网络流量的设备，比如 Web（HTTP）服务器、FTP 服务器、SMTP（电子邮件）服务器和 DNS 服务器。

当进行“由内而外”的弱点评估时，您处于有利地位，因为您在内部且被认为是可信的。这就是您和您的同事登录到系统后的视角。您会看到打印服务器、文件服务器、数据库和其它资源。

这两种弱点评估有很大不同。作为公司的内部用户可拥有比外部用户更多的特权。在大多数机构中是将安全配置为防止入侵者进入。很少是用来防备机构的内部用户（比如部门防火墙、用户等级访问控制以及对内部资源的授权过程。）一般来说，作为大多数系统从内部看来有很多资源是公司的内部资源。一旦您身处公司之外，您的状态就成为不可信。您在公司外部可使用的系统和资源通常非常有限。

请考虑弱点评估和“入侵测试”之间的不同。将弱点评估作为入侵测试的第一步。弱点评估收集的信息可用于测试。进行该评估是来检查漏洞和潜在弱点，而入侵测试则是要利用所发现的漏洞和弱点。

评估网络设备是一个动态过程。无论是信息安全还是物理安全，都是动态的。执行评估所显示的概况，可能会出现误报和漏报。误报是指工具所发现的漏洞实际上并不存在。漏报是指遗漏了实际漏洞。

安全管理员只能通过其所使用的工具和所拥有的知识来发挥其作用。采用任何当前可行的评估工具，在您的系统运行这些评估工具，但几乎可确定的是其中存有误报。无论是程序错误还是用户错误，其结果是相同的。这些工具可能会发现误报，或更有甚者，发现漏报。

现在明确了弱点评估和入侵测试之间的不同，请在执行入侵测试前仔细考虑评估结果以便获得新的最佳实践方法。

以下列表给出了一些执行弱点评估的优点。

在选择弱点评估工具方面，建立弱点评估方法论是很必要的。遗憾的是目前还没有预先确定或者业内公认的方法论，但尝试和最佳实践可作为有效的指导方法。

“目标是什么？我们要查看的是某台服务器还是整个网络以及网络中的所有东西？我们是在公司外部还是内部？”这些问题的答案在帮助您决定工具选择乃至使用方法时至关重要。

要更多地了解所发布的方法，请参阅以下网站：

通过使用某些形式的信息收集工具，可启动评估。在评估整个网络时，首先绘制出布局，查找正在运行的主机。一旦找到主机的位置，将分别检查每个主机。关注这些主机需要另一套工具。知道使用哪一种工具是查找漏洞时最关键的一步。

就像日常生活的每个方面一样，很多工具可执行同一任务。这个概念也可用于执行弱点评估。有些具体到操作系统、应用程序甚至网络的工具（要看所使用的协议）。有些工具是免费的，有些不是。有些工具很直观易用，而有些则比较神秘，且文档支持很差，但拥有其它工具没有的一些功能。

使用合适的工具可能是一项艰巨的任务，最终，还是经验决定一切。如果可能的话，建立一个测试实验室，尽您所能尝试许多不同的工具，记下每一个工具的优点和缺点。查核 README 文件，或这些工具的手册页。此外，在互联网上查阅更多信息，如文章、分步指南，或是针对这些工具的邮件列表。

下面讨论的工具只是众多可用工具中的一个例子。

nmap <hostname>

~]$ nmap foo.example.com

Interesting ports on foo.example.com:
Not shown: 1710 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
53/tcp  open   domain
80/tcp  open   http
113/tcp closed auth

如果不能在以下方面很好地配置网络，就会增加被袭击的风险。

错误配置的网络是未授权用户的主要切入点。让一个可信任并且开放的本地网络暴露于高风险的互联网上就如同开门揖盗— 有时可能什么都不会发生，但 最终 会有人利用这样的机会。

系统管理员通常无法意识到其安全方案中联网硬件的重要性。简单的硬件，比如集线器和路由器，它们依赖的是广播或者非切换的原则，即，无论何时，某个节点通过网络将数据传送到接收节点时，集线器或者路由器都会向接受者发送该数据包的广播并处理该数据。这个方法是外部入侵者以及本地主机的未授权用户进行地址解析（ARP）或者介质访问控制 （MAC）地址嗅探的最薄弱的环节。

另一个潜在的联网陷阱是使用集中管理的计算机。很多企业常用的削减支出的方法是将所有服务都整合到一个强大的机器中。这很方便，因为它容易管理，同时费用相对多台服务器配置来说更加便宜。但是集中管理的服务器也会造成网络单点的失败。如果中央服务器被破坏，则会造成整个网络完全不能使用，甚至更糟糕的是，有可能造成数据被篡改或者被盗。在这些情况下，中央服务器就成为访问整个网络的开放通道。

服务器安全与网络安全同样重要，因为服务器通常拥有机构的大量重要数据。如果服务器被破坏，则其所有内容都可被破解者偷走或者任意篡改。下面的小节详细论述了一些主要问题。

一般系统管理员安装操作系统时不会注意实际安装了哪些程序。这可能会造成一些问题，因为可能安装了并不需要的服务，而这些服务可能被安装和配置了默认设置，并且有可能被开启。这样可能会造成在服务器或者工作站中运行不必要的服务，比如 Telnet、DHCP 或者 DNS，而管理员并没有意识到这一点，从而造成不必要的流量经过该服务器，甚至成为破解者进入该系统的潜在通道。有关关闭端口以及禁用未使用服务的详情请参考 〈第 4.3 节 “安全服务”〉。

默认安装包括的大多数服务器应用程序都是经过严格测试的安全软件。经过在产品环境中的长期应用后，将彻底改进其代码，并会发现和修复很多 bug。

但是世界上不存在十全十美的软件，而且总是有可以改进的空间。另外，较新的软件通常不会进行您希望的严格测试，因为它最近才用于产品环境，或者因为它可能不如其它服务器软件那么受欢迎。

开发者和系统管理员经常会在服务器应用程序中找到可开发的 bug，并将该信息在 bug 跟踪和与安全相关的网页中发布，比如 Bugtraq 邮件列表（http://www.securityfocus.com）或者计算机紧急反应团队（CERT）网站（http://www.cert.org）。虽然这些机制是警告社区安全隐患的有效方法，但关键还是要系统管理员可正确为其系统打补丁。这是事实，因为破解者也可访问同样的弱点跟踪服务，并在可能的情况下使用那些信息破解未打补丁的系统。良好的系统管理需要警惕、持续的 bug 跟踪，同时严格的系统维护可保证您有一个更安全的计算环境。

有关保持系统更新的详情请参考〈 第 3 章 及时更新系统〉。

管理员不能为其系统打补丁是服务器安全的最大威胁之一。根据“系统管理、审核、网络、安全研究院”（即 SANS）资料，造成计算机安全漏洞的主要原因是“让未经培训的人员维护系统安全，不为其提供培训，也没有足够的时间让其完成这项工作。”^[1]这指的是那些缺乏经验的管理员以及过度自信或者缺乏动力的管理员。

有些管理员无法为其服务器和工作站打补丁，而有些则不会检查来自系统内核或者网络流量的日志信息。另一个常见的错误是不修改默认的密码或者服务密钥。例如：有些数据包使用默认的管理员密码，因为数据库开发者假设系统管理员会在安装后立刻更改这些密码。如果数据库管理员没有更改这个密码，那么即使是缺乏经验的破解者也可使用广为人知的默认密码获得该数据库的管理特权。这里只是几个疏忽管理造成服务器被破坏的示例。

即使最谨慎的机构，如果选择自身就有安全问题的网络服务，也可能成为某些安全漏洞的受害者。例如：很多服务的开发是假设在可信网络中使用，一旦这些服务可通过互联网使用，即其本身变得不可信，则这些假设条件就不存在了。

一种不安全的网络服务那些使用不加密用户名和密码认证的服务。Telnet 和 FTP 就是这样的服务。如果数据包嗅探软件正在监控远程用户间的数据流量，那么这样的服务用户名和密码就很容易被拦截。

此类服务还更容易成为安全业内名词 “中间人” 攻击的牺牲品。在这类攻击中，破解者会通过愚弄网络中已经被破解的名称服务器，将网络流量重新指向其自己的机器而不是预期的服务器。一旦有人打开到该服务器的远程会话，攻击者的机器就成为隐形中转人，悄无声息地在远程服务和毫无疑心的用户间捕获信息。使用这个方法，破解者可在服务器或者用户根本没有意识到的情况下收集管理密码和原始数据。

另一个不安全的类型是网络文件系统和信息服务，比如 NFS 或者 NIS，它们是专门为 LAN 使用而开发的，但遗憾的是 WAN 网络（用于远程用户）现在也使用。NFS 默认情况下没有配置任何验证或者安全机制以防止破解者挂载到 NFS 共享并访问其中包括的内容。NIS 同样也有重要信息，网络中的每台计算机都必须了解这些信息，其中包括密码和文件权限，而且它们是纯文本 ASCII 或者 DBM（ASCII 衍生的）数据库。获得这个数据库访问的破解者可访问网络中的每个帐户，包括管理员帐户在内。

默认情况下 Red Hat Enterprise Linux 7 的发布是关闭此类服务的。但是由于管理员通常会发现他们必须使用这些服务，所以谨慎的配置很关键。有关使用安全方式设定服务的详情请参考 ＜第 4.3 节 “安全服务”＞。

工作站和家庭 PC 可能比网络或者服务器受到攻击的可能性小，但因为它们通常都有敏感数据，比如信用卡信息，因此它们也是破解者的目标。工作站还可在用户不知情的情况下在合作攻击中被指派作为破解者的“奴隶”机器。因此，了解工作站的安全漏洞可让用户免于经常重新安装操作系统，或者防止数据被盗。

不安全的密码是攻击者获取系统访问的最简单的方法之一。有关如何在生成密码时避免常见缺陷，详情请参考＜ 第 4.1.1 节 “密码安全”＞。

虽然管理员可保障服务器安全并进行修补，但这并不意味着远程用户在访问该服务器时是安全的。例如：如果该服务器通过公共网络提供 Telnet 或者 FTP 服务，那么攻击者就可以捕获通过该网络的用户名和密码，然后使用该帐户信息访问远程用户的工作站。

即使使用安全协议，比如 SSH，如果远程用户没有即时更新其客户端应用程序，那么对于某些攻击来说，他们也是不堪一击的。例如：v.1 SSH 客户端无法抵御恶意 SSH 服务器的 X 转发攻击。一旦它连接到该服务器，那么攻击者就可悄无声息地捕获所有该客户端通过该网络执行的击键和鼠标动作。这个问题在 v.2 SSH 协议中得到了解决，但这也取决于该用户是否留意什么样的应用程序有此类漏洞并根据需要更新它们。

＜第 4.1 节 “计算机安全”＞中详细论述了管理员和家庭用户应采取什么步骤限制计算机工作站的安全漏洞。

使用密码保护计算机的 BIOS 主要有两个原因^[2]：

因为不同计算机生产商提供的设置 BIOS 的方法不同，具体步骤请查询计算机手册。

如果您忘记了 BIOS 密码，您可以使用主板中的跳线或者断开 CMOS 电池连接重新设置该密码。因此，请尽可能锁上您的机箱。但是在尝试断开 CMOS 电池前请查看计算机或者主板手册。

所有的软件都包含 bug，通常这些 bug 会造成漏洞让恶意用户侵入您的系统。未更新软件包是造成电脑入侵的共同原因。及时地安装安全补丁计划能快速删除被找到的漏洞，这样它们就不会被利用。

当安全更新可用时，安排安装更新并进行测试。我们需要使用其他的控件在发布更新以及系统安装更新期间保护我们的系统。这些控件取决于每一个匹配的漏洞，但是也包括其他的防火墙原则，外部防火墙的使用和软件设置的变化。

通过使用勘误机制来修复支持软件包中的 bugs。勘误包含一个或者多个 RPM 软件包，并伴有简单的解释说明每一个特定的勘误所处理的问题。所有的勘误都通过 Red Hat 订阅管理 服务分配给积极订阅的客户。处理安全问题的勘误被称为 Red Hat 安全建议。

~]# yum check-update --security
Loaded plugins: langpacks, product-id, subscription-manager
rhel-7-workstation-rpms/x86_64                  | 3.4 kB  00:00:00
No packages needed for security; 0 packages available

~]# yum update --security

当更新系统中的软件包时，从可信资源下载更新是很重要的。攻击者可轻易重建本应用来解决问题的同一版本号的软件包，通过不同的安全漏洞并发布到互联网中。如果发生这种情况，采取例如验证针对原始 RPM 的文件之类的安全措施是无法探测到漏洞。因此，只从可信来源下载 RPMs 是非常重要的，例如从 Red Hat 下载并检查软件包签名以确定其完整性。

想要更多有关如何使用 Yum 软件包管理器的信息，请参考《红帽企业版Linux 7 系统管理指南》。

rpmkeys --checksig package_file.rpm

yum install package_file.rpm

yum install *.rpm

下载并安装安全勘误和更新后，停止使用旧的软件并开始使用新软件是很重要的。如何做取决于所安装软件的类型。以下列表列出了软件常规分类并提供在软件包升级后使用更新版本的步骤。

在红帽企业版 Linux 6 中， pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施，旨在防止可能针对获取用户的账户密码的暴力破解。

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中。

根据这些步骤对账户锁定进行参数配置：

用户 john 在前三次登录失败后，尝试第四次登录时，他的账户在第四次尝试中被锁定：

[yruseva@localhost ~]$ su - john
Account locked due to 3 failed logins
su: incorrect password

要让一个用户即使在数次登录失败之后，其账户仍未被锁定，则须在 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中的 "first call of" pam_faillock 之前添加以下命令行。也可以用user1, user2, user3 代替实际用户名。

auth [success=1 default=ignore] pam_succeed_if.so user in user1:user2:user3

要查看每个用户的尝试失败次数，则须作为 root 用户运行以下命令行：

[root@localhost ~]# faillock
john:
When                Type  Source                                           Valid
2013-03-05 11:44:14 TTY   pts/0                                                V

要解锁一个用户的账户，则须作为 root 用户运行以下命令行：

faillock --user <username> --reset

当使用 authconfig 功能对验证配置参数进行修改时， authconfig 功能的设置参数会覆盖 system-auth 文件和 password-auth 文件。要同时使用配置文件和authconfig ，您必须使用以下步骤对账户锁定进行参数配置：

关于 pam_faillock 不同配置选项的更多信息，请参阅 pam_faillock(8) 手册页。

在每天的操作中，用户可能会因一些原因需离开他们的工作站，使得工作站无人值守。这可能会让攻击者有物理访问机器的机会，尤其在物理安全措施不完备的情况下（参阅第 1.2.1 节 “物理控制”）。这个问题在笔记本电脑中尤为突出，因为它们的便携性影响了其物理安全。您可以通过利用会话锁定来减少这些风险。会话锁定的特征就是除非输入了正确的密码，否则禁止访问系统。

~]# yum install vlock

vlock -a

如果管理员因为总总理由认为允许用户作为 root 登录不妥，则不应当泄露 root 密码，且不允许通过引导装载程序密码保护进入运行级别 1 或单用户模式（有关此话题的更多信息，请参阅 ＜第 4.2.5 节 “引导装载程序的保护” ＞）。

以下有四种不同的方式能让管理员可进一步确保禁止 root 登录：

如果机构中的用户是可信且具有计算机知识，那么允许他们有 root 访问就不是什么问题。根据用户允许 root 访问意味着个人用户可处理一些次要活动，比如添加设备或者配置网络接口，那么可让系统管理员处理网络安全和其它重要问题。

另一方面，个人用户有 root 访问可导致以下问题：

管理员也许是希望允许只通过 setuid 程序进行访问，而不是完全拒绝访问 root 用户，例如 su 或 sudo。关于 su 和 sudo 的更多信息，请参阅《Red Hat Enterprise  Linux 7 系统管理员指南 》和 su(1) 与 sudo(8) 的手册页。

当用户作为 root 登录时，无人看管的登录会话可能会造成重大的安全风险。要降低这种风险，您可以配置系统来实现在一段时间后自动注销空闲用户：

此变更将在下一次用户登录系统时生效。

使用密码保护 Linux 引导装载程序的主要原因如下：

Red Hat Enterprise Linux 7 在 Intel 64 和 AMD 64 平台上使用 GRUB 2 引导装载程序。关于 GRUB 2 的详细资料，请参阅《Red Hat Enterprise  Linux 7 系统管理员指南》。

PROMPT=no

网络服务可为 Linux 系统造成很多危险。以下是一些主要问题列表：

要提高安全性，默认关闭在 Red Hat Enterprise Linux 7 中安装的大多数服务。但有些是例外：

在决定是否要让服务保持运行时，最好根据常识，并避免冒任何风险。例如：如果无法使用打印机时，那就不要让 cups 继续运行。同样也适用于 portreserv。如果您没有挂载 NFSv3 卷或者使用 NIS（ypbind 服务），则应该禁用 rpcbind。检查哪些可用的网络服务可以在开机时启动是不够的。我们推荐还应该检查哪些端口已打开并在侦听。详情请参阅＜第 4.4.2 节 “验证使用侦听的端口”＞ 。

无疑，任何网络服务都是不安全的。这就是为什么要关闭不使用的服务是如此的重要。我们会常规发现并修补服务漏洞，这些工作对常规更新与网络服务有关的软件包非常重要。详情请参阅＜第 3 章 及时更新系统＞。

某些网络协议本身就比其它协议更不安全。这些协议包含一些服务：

本身就不安全的服务示例包括 rlogin、rsh、 telnet、以及vsftpd。

所有远程登录和 shell 程序 (rlogin、rsh、 以及 telnet) 应避免使用以支持 SSH。详情请参阅〈 第 4.3.10 节 “保障 SSH” 〉有关 sshd。

FTP 并不象远程 shell 那样天生对系统安全有威胁，但需要小心配置并监控 FTP 服务器以免出问题。有关保证 FTP 服务器安全的详情请参阅〈第 4.3.8 节 “保证 FTP 安全”〉。

应小心使用并在防火墙后使用的服务包括：

有关保证网络服务安全的更多信息，请参阅〈第 4.4 节 “安全访问网络”〉。

rpcbind 服务是为 NIS 和 NFS 等 RPC 服务进行动态端口分配的守护进程。它的认证机制比较薄弱，并可以为其控制的服务分配大范围的端口。因此很难保证其安全。

如果运行 RPC 服务，请遵守以下基本规则。

~]# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="192.168.0.0/24" invert="True" drop'
~]# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="tcp" source address="127.0.0.1" accept'

~]# firewall-cmd --add-rich-rule='rule family="ipv4" port port="111" protocol="udp" source address="192.168.0.0/24" invert="True" drop'

“网络信息服务” (NIS) 是一个 RPC 服务，亦称之为 ypserv， 可与 rpcbind 及其它相关服务一同使用，向自称在其域中的所有计算机发布用户名、密码以及其它敏感信息映射。

NIS 服务器由许多应用程序组成。它包括以下的应用程序：

就当今的标准而言， NIS 在某种程度上并不安全。它没有主机认证机制，且所有通过网络的传输都是不加密的，包括哈希密码。因此设置使用 NIS 的网络时，要特别小心。事实上， NIS 的默认配置本身就不安全，这也让情况变得更为复杂。

建议任何想要运行 NIS 服务器的人先要保障 rpcbind 服务的安全，正如在〈第 4.3.4 节 “保障 rpcbind”〉中概括的那样，然后解决以下的问题，比如网络计划。

ypcat -d <NIS_domain> -h <DNS_hostname> passwd

ypcat -d <NIS_domain> -h <DNS_hostname> shadow

255.255.255.0     192.168.0.0

YPSERV_ARGS="-p 834"
YPXFRD_ARGS="-p 835"

~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" invert="True" port port="834-835" protocol="tcp" drop'
~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" invert="True" port port="834-835" protocol="udp" drop'

Apache HTTP 服务器是 Red Hat Enterprise Linux 7 中最稳定、最安全的服务之一。有很多可用的选项和技术可用于保证 Apache HTTP 服务器安全 — 由于数量过多，在此就不进行深入探讨。以下小节简要介绍了在运行 Apache HTTP 服务器时可采用的操作。

在投入生产“之前”，一定要核实所有脚本都可如预期在系统中运行。另外，请确保只有 root 用户才有权限写入含脚本或者 CGI 的任何目录。要做到这一点，则须作为 root 用户运行以下命令：

chown root <directory_name>

chmod 755 <directory_name>

系统管理员应谨慎使用以下配置选项（在 /etc/httpd/conf/httpd.conf 进行配置）：

在某些情况下，最好删除特定的 httpd 模式，以限制 HTTP 服务器的功能。要实现这一目的，只须为整个命令行添加注释，该命令行用于加载在 /etc/httpd/conf/httpd.conf 文件中您想要删除的模块。例如，要删除代理模块，则须通过给下列命令行新增“＃”字符，为下列命令行添加注释：

#LoadModule proxy_module modules/mod_proxy.so

请注意， /etc/httpd/conf.d/ 目录包含了可用于加载模块的配置文件。

有关信息，请参阅《 红帽企业版 Linux 7 SELinux 用户和管理员手册》。

“文件传输协议”（FTP）是一个比较旧的 TCP 协议，用来通过网络传输文件。因为服务器所处理的所有传输，包括用户认证，都是未经加密，所以它被认为是一个不安全的协议，且应该谨慎地进行配置。

Red Hat Enterprise Linux 7 提供两个FTP 服务器：

下列安全指南可用于设置 vsftpd FTP 服务。

ftpd_banner=<insert_greeting_here>

######### Hello, all activity on ftp.example.com is logged. #########

banner_file=/etc/banners/ftp.msg

~]# mkdir /var/ftp/pub/upload

~]# chmod 730 /var/ftp/pub/upload

~]# ls -ld /var/ftp/pub/upload
drwx-wx---. 2 root ftp 4096 Nov 14 22:57 /var/ftp/pub/upload

anon_upload_enable=YES

local_enable=NO

Postfix 是邮件传输代理（MTA），它使用简单邮件传输协议（SMTP）在其它 MTA 和电子邮件客户端或者传递代理之间传递电子信息。虽然很多 MTA 都可以在彼此之间加密流量，但大多数并不这样做，因此使用任何公共网络发送电子邮件都被视为不安全的沟通形式。Postfix 替代 Sendmail 成为 Red Hat Enterprise Linux 7 默认的 MTA。

建议使用 Postfix 服务器的用户解决以下问题。

<directive> = <value>

inet_interfaces = localhost

Secure Shell （SSH）是一个强大的网络协议，可通过安全的渠道与其他系统进行通讯。通过 SSH 的传输都经过加密，可避免被拦截。关于 SSH 协议，以及在 Red Hat Enterprise Linux 7 中如何使用SSH 服务的常用信息，请参阅《红帽企业版 Linux 7 系统管理员指南》。

~]$ ssh-copy-id -i [user@]server

AuthenticationMethods publickey,gssapi-with-mic publickey,keyboard-interactive

~]# semanage -a -t ssh_port_t -p tcp port_number

TCP （ Transmission Control Protocol，传输控制协议） Wrapper 程序不仅仅是可以拒绝对某种服务的访问。这个部分将阐明如何使用它们传送连接提示信息程序，警告存在来自某些主机的攻击，以及增强日志记录功能。关于 TCP Wrapper 功能和控制语言的信息，请参阅 hosts_options(5) 手册页。关于可用的状态标志寄存器，请参阅 xinetd.conf(5) 的手册页。您可将此状态标志寄存器作为选项运用于某一服务。

220-Hello, %c 
220-All Activity on ftp.example.com is logged.
220-Inappropriate use will result in your access privileges being removed.

vsftpd : ALL : banners /etc/banners/

ALL : 206.182.68.0 : spawn /bin/echo `date` %c %d >> /var/log/intruder_alert

in.telnetd : ALL : severity emerg

应当避免打开不必要的端口，因为这会增加您系统受到攻击的可能性。如果在系统运行之后，您发现有意外打开的端口处于侦听状态，那么这可能就是入侵的迹象，应该对此进行调查。

作为 root 用户，从控制台发出以下命令，以判定哪个端口正在侦听来自网络的连接：

~]# netstat -pan -A inet,inet6 | grep -v ESTABLISHED
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address       Foreign Address     State     PID/Program name
tcp        0      0 0.0.0.0:111         0.0.0.0:*           LISTEN    1608/rpcbind
tcp        0      0 127.0.0.1:53        0.0.0.0:*           LISTEN    2581/unbound
tcp        0      0 0.0.0.0:22          0.0.0.0:*           LISTEN    2048/sshd
tcp        0      0 127.0.0.1:631       0.0.0.0:*           LISTEN    3202/cupsd
tcp        0      0 0.0.0.0:54136       0.0.0.0:*           LISTEN    2279/rpc.statd
tcp        0      0 127.0.0.1:25        0.0.0.0:*           LISTEN    2708/master
tcp        0      0 127.0.0.1:8953      0.0.0.0:*           LISTEN    2581/unbound
tcp        0      0 127.0.0.1:8955      0.0.0.0:*           LISTEN    2634/dnssec-trigger
tcp6       0      0 :::111              :::*                LISTEN    1608/rpcbind
tcp6       0      0 :::60881            :::*                LISTEN    2279/rpc.statd
tcp6       0      0 ::1:53              :::*                LISTEN    2581/unbound
tcp6       0      0 :::22               :::*                LISTEN    2048/sshd
tcp6       0      0 ::1:631             :::*                LISTEN    3202/cupsd
tcp6       0      0 ::1:25              :::*                LISTEN    2708/master
tcp6       0      0 ::1:8953            :::*                LISTEN    2581/unbound
udp        0      0 127.0.0.1:766       0.0.0.0:*                     2279/rpc.statd
udp        0      0 0.0.0.0:59186       0.0.0.0:*                     674/avahi-daemon: r
udp        0      0 0.0.0.0:33639       0.0.0.0:*                     2279/rpc.statd
udp        0      0 0.0.0.0:889         0.0.0.0:*                     1608/rpcbind
udp        0      0 127.0.0.1:53        0.0.0.0:*                     2581/unbound
udp        0      0 0.0.0.0:68          0.0.0.0:*                     2642/dhclient
udp        0      0 0.0.0.0:111         0.0.0.0:*                     1608/rpcbind
udp        0      0 0.0.0.0:46198       0.0.0.0:*                     2642/dhclient
udp        0      0 0.0.0.0:123         0.0.0.0:*                     697/chronyd
udp        0      0 0.0.0.0:5353        0.0.0.0:*                     674/avahi-daemon: r
udp        0      0 127.0.0.1:323       0.0.0.0:*                     697/chronyd
udp6       0      0 :::3885             :::*                          2642/dhclient
udp6       0      0 :::889              :::*                          1608/rpcbind
udp6       0      0 ::1:53              :::*                          2581/unbound
udp6       0      0 :::111              :::*                          1608/rpcbind
udp6       0      0 :::123              :::*                          697/chronyd
udp6       0      0 ::1:323             :::*                          697/chronyd
udp6       0      0 :::33235            :::*                          2279/rpc.statd
raw6       0      0 :::58               :::*                7         2612/NetworkManager

请注意，输入 -l 选项时，并不会显示 SCTP （ stream control transmission protocol，流控制传输协议）服务器。

查核系统所需的服务和命令的输出信息时，关闭那些非特别需要或未经授权的，再重复检查。继续执行，然后使用来自另一系统的 nmap 来进行外部检查，此系统是通过网络连接到第一个系统的。这可用于验证 iptables 的规则。扫描来自外部系统的 ss 输出信息（除了本机 127.0.0.0 或 ::1 区间）中显示的每一个 IP 地址。使用 -6 选项，对 IPv6 （Internet Protocol Version 6，网际网路通讯协定第六版）地址进行扫描。更多信息，请参阅 man nmap(1) 。

以下示例是从另一系统的控制台发出的命令，用于判定哪个端口正在侦听 TCP 网络连接：

~]# nmap -sT -O 192.168.122.1

关于 ss，nmap，以及 services 的更多信息，请参阅手册页。

源路由是一种互联网协议机制，可允许 IP 数据包携带地址列表的信息，以此分辨数据包沿途经过的路由器。通过某一路径时，会出现一可选项，记录为中间路径。所列出的中间路径，即“路径记录”，可提供返回至源路由路径上的目的地。这就允许源路由可指定某一路径，无论是严格的还是松散的，可忽略路径列表上的一些或全部路由器。它可允许用户恶意重定向网络流量。因此，应禁用源路由。

accept_source_route 选项会导致网络接口接收“严格源路由选项” （SSR，Strict Source Route） 或“松散源路由选项 ”（LSR，Loose Source Routing） 数据包。源路由数据包的接收是由 sysctl 设置所控制。作为 root 用户，发出以下命令，丢弃 SSR 或 LSR 数据包：

~]# /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0

如上述所言，可能的话（禁止转发可能会干扰虚拟化技术），也应禁止数据包的转发。作为 root 用户，发出以下所列出的命令：

这些命令禁止在所有界面上对 IPv4 和 IPv6 数据包进行转发。

~]# /sbin/sysctl -w net.ipv4.conf.all.forwarding=0

~]# /sbin/sysctl -w net.ipv6.conf.all.forwarding=0

这些命令禁止在所有界面上对所有组播数据包进行转发。

~]# /sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0

~]# /sbin/sysctl -w net.ipv6.conf.all.mc_forwarding=0

接收 ICMP （Internet Control Message Protoco，Internet控制报文协议）重定向多为非法使用。除非有特定需要，禁止对此类 ICMP 重定向数据包的接收和传送。

这些命令禁止在所有界面上对所有的 ICMP 重定向数据包进行接收。

~]# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

~]# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects=0

此命令禁止在所有界面上对 ICMP 安全重定向数据包进行接收。

~]# /sbin/sysctl -w net.ipv4.conf.all.secure_redirects=0

此命令禁止在所有界面上对所有的 IPv4 ICMP 重定向数据包进行接收。

~]# /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0

这是禁止传送 IPv4 重定向数据包的指示。关于 “IPv6 节点要求” （IPv6 Node Requirements）导致 IPv4 与 IPv6 不同的详细解释，请参阅 〈RFC4294〉 。

要实现永久设定，则必须将其添加到 /etc/sysctl.conf 。

更多信息，请参阅 sysctl 手册页 sysctl(8) 。关于对源路由及其变量的相关互联网选项的详细解释，请参阅 〈RFC791 〉。

反向路径过滤可用于防止数据包从一接口传入，又从另一不同的接口传出。输出路径与输入路径不同，这有时被称为 “非对称路由” （asymmetric routing）。路由器通常会按某种路径传送数据包，但大多数主机并不需要这么做。在以下此类应用程序中常出现异常现象：从一链接输出流量，又从另一不同的服务提供者链接那接收流量。例如，使用结合 xDSL 的租用线路，或是与 3G 网络调制解调器连接的卫星。如果此类场景适用于您，那么就有必要关闭输入接口的反向路径过滤。简而言之，除非必要，否则最好将其关闭，因为它可防止来自子网络的用户采用 IP 地址欺骗手段，并减少 DDoS （分布式拒绝服务，Distributed Denial of Service）攻击的机会。

动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙，用以支持网络 “zones” ，以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IPv4 和 IPv6 防火墙设置的支持。它支持以太网桥，并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

一个图像化的配置工具，firewall-config，用于配置 firewalld：它依次用 iptables工具 与执行数据包筛选的内核中的 Netfilter 通信，

使用图像化的 firewall-config 工具，按下 Super 键进入活动总览，点击 firewall，然后按下　Enter。firewall-config 工具就出现了。您将被提示输入管理员密码。

firewall-config 工具里有一个标记为 Configuration 的下拉菜单，可以在 运行时间 和 永久 两种模式之间进行选择。要注意，如果您选择了 Permanent ，在左上角会出现一排附加的图标。因为不能在运行模式下改变一个服务参数，所以这些图标仅在永久配置模式中出现。

由 firewalld 提供的是动态的防火墙服务，而非静态的。因为配置的改变可以随时随地立刻执行，不再需要保存或者执行这些改变。现行网络连接的意外中断不会发生，正如防火墙的所有部分都不需要重新下载。

提供命令行客户端，firewall-cmd，用于进行永久性或非永久性运行时间的改变，正如在 man firewall-cmd(1)所解释的一样。永久性改变需要按照 firewalld(1) 手册页的解释来进行。注意， firewall-cmd 命令可以由 root 用户运行，也可以由管理员用户——换言之， wheel 群体的成员运行。在后一种情况里，命令将通过 polkit 进程来授权。

firewalld 的配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 里的各种 XML 文件里，这样保持了这些文件被编辑、写入、备份的极大的灵活性，使之可作为其他安装的备份等等。

其他应用程序可以使用 D-bus 和 firewalld 通信。

firewalld 和 iptables service 之间最本质的不同是： 使用 iptables tool 与内核包过滤对话也是如此。

基于用户对网络中设备和交通所给与的信任程度，防火墙可以用来将网络分割成不同的区域。 NetworkManager 通知 firewalld 一个接口归属某个区域。接口所分配的区域可以由 NetworkManager 改变，也可以通过能为您打开相关 NetworkManager 窗口的 firewall-config 工具进行。

在/etc/firewalld/的区域设定是一系列可以被快速执行到网络接口的预设定。列表并简要说明如下：

指定其中一个区域为默认区域是可行的。当接口连接加入了 NetworkManager，它们就被分配为默认区域。安装时，firewalld 里的默认区域被设定为公共区域。

网络区域名已经选定为不加说明，即可明了，并允许用户快速地做出合理决定。但是，应对默认配置的设定进行检查，而且根据您的需要和风险评估，不必要的服务将不能使用。

一项服务可以是本地和目的地端口的列表，如果服务被允许的话，也可以是一系列自动加载的防火墙辅助模块。预先定义的服务的使用，让客户更容易被允许或者被禁止进入服务。与对开放端口或者值域，或者端口截然不同，使用预先定义服务，或者客户限定服务，或许能够让管理更容易。 firewalld.service(5) 中的手册页描述了服务配置的选择和通用文件信息。服务通过单个的 XML 配置文件来指定，这些配置文件则按以下格式命名：service-name.xml。

用图形化 firewall-config 工具查看服务列表，按下 Super 键进入开始菜单，输入 firewall 然后按下 Enter，firewall-config 工具就出现了。您将被提示输入管理员密码。现在，在 Services 标签下，您可以查看服务列表了。

要使用命令行列出默认的预先定义服务，以 root 身份执行以下命令：

~]# ls /usr/lib/firewalld/services/

请勿编辑/usr/lib/firewalld/services/ ，只有 /etc/firewalld/services/ 的文件可以被编辑。

要列出系统或者用户创建的系统，以 root 身份执行以下命令：

~]# ls /etc/firewalld/services/

使用图形化 firewall-config 工具和通过编辑 /etc/firewalld/services/ 中的 XML 文件，服务可以被增加和删除。如果服务没有被用户增加或者改变，那么 /etc/firewalld/services/ 中不会发现相应的 XML 文件。如果您希望增加或者改变服务， /usr/lib/firewalld/services/ 文件可以作为模板使用。以 root 身份执行以下命令：

~]# cp /usr/lib/firewalld/services/[service].xml /etc/firewalld/services/[service].xml

然后您可以编辑最近创建的文件。firewalld 优先使用 /etc/firewalld/services/ 里的文件，如果一份文件被删除且服务被重新加载后，会切换到 /usr/lib/firewalld/services/。

firewalld 有一个被称为 “direct interface”（直接接口），它可以直接通过 iptables、ip6tables 和 ebtables 的规则。它适用于应用程序，而不是用户。如果您不太熟悉 iptables，那么使用直接接口是很危险的，因为您可能无意中导致防火墙被入侵。firewalld 保持对所增加项目的追踪，所以它还能质询 firewalld 和发现由使用直接端口模式的程序造成的更改。直接端口由增加 --direct 选项到 firewall-cmd 命令来使用。

直接端口模式适用于服务或者程序，以便在运行时间内增加特定的防火墙规则。这些规则不是永久性的，它们需要在每次通过 D-BU S从 firewalld 接到启动、重新启动和重新加载信息后运用。

在 Red Hat Enterprise Linux 7 中，默认安装 firewalld 和图形化用户接口配置工具 firewall-config。作为 root 用户运行下列命令可以检查：

~]# yum install firewalld firewall-config

要禁用 firewalld，则作为 root 用户运行下列命令：

~]# systemctl disable firewalld
# systemctl stop firewalld

要用 iptables 和 ip6tables 服务代替 firewalld，则以 root 身份运行以下命令，先禁用 firewalld：

~]# systemctl disable firewalld
# systemctl stop firewalld

然后安装 iptables-services 程序包，以 root 身份输入以下命令：

~]# yum install iptables-services

iptables-services 程序包包含了 iptables 服务和 ip6tables 服务。

然后，以 root 身份运行 iptables 和 ip6tables 命令：

  # systemctl start iptables
  # systemctl start ip6tables
  # systemctl enable iptables
  # systemctl enable ip6tables

要启动 firewalld，则以 root 用户身份输入以下命令：

~]# systemctl start firewalld

如果 firewalld 在运行，输入以下命令检查：

~]$ systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
	  Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
	  Active: active (running) since Sat 2013-04-06 22:56:59 CEST; 2 days ago
	Main PID: 688 (firewalld)
	  CGroup: name=systemd:/system/firewalld.service

另外，检查 firewall-cmd 是否可以通过输入以下命令来连接后台程序：

~]$ firewall-cmd --state 
running

要安装firewalld，则以 root 用户身份运行以下命令：

~]# yum install firewalld

要安装图形化用户接口工具 firewall-config，则以 root 用户身份运行下列命令：

~]# yum install firewall-config

防火墙可以通过使用图形化用户接口工具 firewall-config、命令行接口工具 firewall-cmd 和编辑 XML 配置文件来配置。下面会以此详述这些方法：

~]# firewall-config

~]$ firewall-cmd --version

~]$ firewall-cmd --help

~]$ firewall-cmd --state

~]$ firewall-cmd --get-active-zones
public: em1 wlan0

~]$ firewall-cmd --get-zone-of-interface=em1
public

~]# firewall-cmd --zone=public --list-interfaces
em1 wlan0

~]# firewall-cmd --zone=public --list-all
public
  interfaces: 
  services: mdns dhcpv6-client ssh
  ports: 
  forward-ports: 
  icmp-blocks: source-quench

~]# firewall-cmd --get-service
cluster-suite pop3s bacula-client smtp ipp radius bacula ftp mdns samba dhcpv6-client dns openvpn imaps samba-client http https ntp vnc-server telnet libvirt ssh ipsec ipp-client amanda-client tftp-client nfs tftp libvirt-tls

~]# firewall-cmd --get-service --permanent

~]# firewall-cmd --panic-on

~]# firewall-cmd --panic-off

~]$ firewall-cmd --query-panic

~]# firewall-cmd --reload

~]# firewall-cmd --complete-reload

~]# firewall-cmd --zone=public --add-interface=em1

ZONE=work

 # default zone
 # The default zone used if an empty zone string is used.
 # Default: public
 DefaultZone=home

~]# firewall-cmd --reload

~]# firewall-cmd --set-default-zone=public

~]# firewall-cmd --zone=dmz --list-ports

~]# firewall-cmd --zone=dmz --add-port=8080/tcp

~]# firewall-cmd --zone=public --add-port=5060-5061/udp

~]# firewall-cmd --zone=work --add-service=smtp

~]# firewall-cmd --zone=work --remove-service=smtp

~]# firewall-cmd --reload

~]# ls /usr/lib/firewalld/zones/
block.xml  drop.xml      home.xml      public.xml   work.xml
dmz.xml    external.xml  internal.xml  trusted.xml

~]# ls /etc/firewalld/zones/
external.xml  public.xml  public.xml.old

~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

<service name="smtp"/>

~]# ls /etc/firewalld/zones/
external.xml  public.xml  work.xml

<service name="smtp"/>

~]# firewall-cmd --zone=external --query-masquerade

~]# firewall-cmd --zone=external --add-masquerade

~]# firewall-cmd --zone=external --remove-masquerade

~]# firewall-cmd --zone=external --add-masquerade

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753

~]# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.0.2.55

~]# firewall-cmd --zone=external /
      --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.0.2.55

~]# firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \
      0 -m tcp -p tcp --dport 666 -j ACCEPT

~]# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \
      0 -m tcp -p tcp --dport 666 -j ACCEPT

~]# firewall-cmd --direct --get-rules ipv4 filter IN_public_allow

通过 “rich language” 语法，可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外，还能永久保留设置。这种语言使用关键词值，是 iptables 工具的抽象表示。这种语言可以用来配置分区，也仍然支持现行的配置方式。

firewall-cmd [--zone=zone] --add-rich-rule='rule' [--timeout 9=seconds]

firewall-cmd [--zone=zone] --remove-rich-rule='rule'

firewall-cmd [--zone=zone] --query-rich-rule='rule'

rule [family="<rule family>"]
    [ source address="<address>" [invert="True"] ]
    [ destination address="<address>" [invert="True"] ]
    [ <element> ]
    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
    [ audit ]
    [ accept|reject|drop ]

zone_log
zone_deny
zone_allow

rule protocol value="ah" accept

rule service name="ftp" log limit value="1/m" audit accept

rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept

rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject
rule family="ipv6" service name="radius" accept

rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"

rule family="ipv4" source address="192.168.2.2" accept

如果以 root 身份运行本地应用或者服务（比如 libvirt ），就能更改防火墙设置。因为这个功能，管理员可以锁定防火墙设置，这样无论是不向锁定的白名单添加应用，还是仅允许添加应用，都可以要求防火墙更改。锁定设置默认不启动，如果启动，用户可以确保本地应用或者服务不需要对防火墙做任何设置更改。

Lockdown=yes

~]# firewall-cmd --reload

~]$ firewall-cmd --add-service=imaps
Error: ACCESS_DENIED: lockdown is enabled

~]# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/firewall-cmd*'

~]# firewall-cmd --reload

~]$ firewall-cmd --add-service=imaps

~]# firewall-cmd --query-lockdown

~]# firewall-cmd --lockdown-on

~]# firewall-cmd --lockdown-off

~]$ ps -e --context

~]$ ps -e --context | grep example_program

~]# firewall-cmd --list-lockdown-whitelist-commands

~]# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'

~]# firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'

~]# firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python -Es /usr/bin/command'

~]# firewall-cmd --list-lockdown-whitelist-contexts

~]# firewall-cmd --add-lockdown-whitelist-context=context

~]# firewall-cmd --remove-lockdown-whitelist-context=context

~]# firewall-cmd --query-lockdown-whitelist-context=context

~]# firewall-cmd --list-lockdown-whitelist-uids

~]# firewall-cmd --add-lockdown-whitelist-uid=uid

~]# firewall-cmd --remove-lockdown-whitelist-uid=uid

~]$ firewall-cmd --query-lockdown-whitelist-uid=uid

~]# firewall-cmd --list-lockdown-whitelist-users

~]# firewall-cmd --add-lockdown-whitelist-user=user

~]# firewall-cmd --remove-lockdown-whitelist-user=user

~]$ firewall-cmd --query-lockdown-whitelist-user=user

<?xml version="1.0" encoding="utf-8"?>
<whitelist>
  <selinux context="system_u:system_r:NetworkManager_t:s0"/>
  <selinux context="system_u:system_r:virtd_t:s0-s0:c0.c1023"/>
  <user id="0"/>
</whitelist>

<?xml version="1.0" encoding="utf-8"?>
<whitelist>
  <command name="/usr/bin/python -Es /bin/firewall-cmd*"/>
  <selinux context="system_u:system_r:NetworkManager_t:s0"/>
  <user id="815"/>
  <user name="user"/>
</whitelist>

/usr/bin/python /bin/firewall-cmd --lockdown-on

下列信息的来源提供了关于 firewalld 的附加资源。

DNSSEC是一套“ 域名系统安全扩展 ”(DNSSEC，Domain Name System Security Extensions) ，能让“ 域名系统 ”（DNS，Domain Name System）客户端进行身份验证以及检查来自 DNS 域名服务器响应的完整性，以此鉴定它们的来源，并判断它们是否在传输过程中被篡改过。

对于通过互联网连接，现在有越来越多的网站使用 超文本传输协议安全（HTTPS，Hyper Test Transfer Protocol Security） 来提供安全的链接。然而，除非您直接输入 IP 地址，在连接到 HTTPS 网络服务器之前，必须执行 DNS 查询。由于缺少身份验证，执行这些 DNS 查询是不安全的，且会遭到“ 中间人 ”攻击（ MITM , man-in-the-middle attacks）。换句话说， DNS 客户端无法确信疑似来自特定的 DNS 域名服务器的应答是否可信，以及是否被篡改过。更重要的是，递归服务器无法确定从其他域名服务器获取的记录是真实的。 DNS 协议无法提供客户端可确保不遭受中间人攻击的机制。 DNSSEC 的引入解决了在使用 DNS 解析域名时，缺少身份验证和完整性检查的问题。但它不能解决机密性的问题。

DNSSEC 所发布的信息包括 DNS 资源记录的数字签字和公用加密密钥的分配，以这样的方式让 DNS 解析器建立起多层次的信息链。因所有 DNS 资源记录而生成的数字签名，添加到此 DNS 区域作为资源记录签名（RRSIG）。此区域所添加的公用加密密钥作为资源记录的域名系统密钥（ DNSKEY ）。要建立起多层次的信息链，则须将 DNSKEY 的散列值发布到父区域作为“ 代理签名 ”（DS，Delegation of Signing）资源记录。要验证不存在性，则须使用 NextSECure （NSEC，下一代安全）和 NSEC3 （NSEC的替换或备用方案）资源记录。在 DNSSEC 区域签名中，每一个“ 资源记录集 ”（RRset，resource record set） 都有其对应的 RRSIG 资源记录。请注意， 用作子区域代理的记录（域名服务器粘附记录，NS and glue records）并没有进行签名；这些记录要显示在子区域，并在此区域进行签名。

运用 root 区域公用加密密钥进行配置的解析器会完成处理 DNSSEC 的信息。使用这种密钥，解析器可以验证用于 root 区域的签名。例如， root 区域对 .com 的 DS 记录进行签名。 root 区域也为 .com 域名服务器提供域名服务器粘附记录。解析器会跟踪代理和查询使用代理域名服务器 .com 的DNSKEY 记录。所获取的 DNSKEY 记录散列值应当与 root 区域的 DS 记录相匹配。如果匹配，则解析器将会信任所获取的 .com DNSKEY 。在 .com 区域内， RRSIG 记录是由 .com DNSKEY 所创建。同样地，在 .com 中的代理也是重复此程序，例如 redhat.com。用这种方法，尽管 DNS 验证解析器在其正常操作期间收集了很多 DNSKEY ，但只需用一个 root 密钥对其进行配置。如果密码检查失败了，则解析器将 SERVFAIL 会返回给应用程序。

DNSSEC 的设计是根据以下这种方式：对于不支持 DNSSEC 的应用程序完全不可见。如果非 DNSSEC 应用程序查询支持 DNSSEC的解析器 ，则它所接收的答复没有任何新资源记录类型，如 RRSIG 。然而， 支持 DNSSEC 的解析器仍将执行所有密码检查，若探测到恶意 DNS 答复，它仍会将 SERVFAIL 错误返回给应用程序。 DNSSEC 会保护 DNS 服务器（权威服务器和递归服务器）数据的完整性，但却不为应用程序和解析器提供的安全保护。因此，予以一个从应用程序到其解析器的安全传输方式十分重要。实现这一目的最容易的方法就是运行 localhost （本地主机）上支持 DNSSEC 的解析器，使用 /etc/resolv.conf下的 127.0.0.1 。或者可以使用虚拟专用网络（ VPN ，Virtual Private Network）连接到远程 DNS 服务器。

使用无线网络热点（ Wi-Fi Hotspot ，Wireless Fidelity Hotspot）或 VPN 时，就会依赖 “DNS 欺骗” （DNS lies）。所获取的端口往往会发生 DNS 劫持，以便重定向用户跳转到需要身份验证（或支付）的 Wi-Fi 服务网页。连接 VPN 的用户常常需使用 “内部专用” DNS 服务器，以便定位那些在公司网络外不存在的资源。这需要软件进行额外处理。例如， dnssec-trigger 可用于探测一个无线热点（ Hotspot ）是否劫持 DNS 查询，或 unbound 是否充当代理域名服务器处理 DNSSEC 查询。

要部署支持 DNSSEC 的递归解析器，则可使用 BIND 或 unbound 。这两者在默认情况下都使用 DNSSEC ，并用 DNSSEC root 密钥进行配置。在服务器上使用 DNSSEC ，两者都可正常工作。然而， unbound 更常用于移动设备，如笔记本电脑。因为它允许本机用户对 DNSSEC 覆写动态重配置，无论是使用 dnssec-trigger 时无线热点所需求的， 亦或是使用 Libreswan 时 VPNs 所需求的。 unbound 守护进程进一步支持对列入 etc/unbound/*.d/目录的 DNSSEC 异常状况进行部署，这对服务器和移动设备都有用。

一旦 unbound 完成安装，并在 /etc/resolv.conf下进行配置，则所有来自应用程序的 DNS 查询都会通过 unbound进行处理。dnssec-trigger 只有在被触发时，才会对 unbound 解析器进行重配置。这大多数运用于漫游的客户机，如笔记本电脑，这种可连接到不同 Wi-Fi 网络的机器。其过程如下：

无线热点更是常常在授予访问网络权限之前，重定向用户到登录页面。在探测上述编列期间，如果探测到重定向命令，则会提示用户，以询问是否通过要求登录来获取网络访问权限。dnssec-trigger 守护进程将继续对 DNSSEC 解析器每十秒进行探测。关于使用 dnssec-trigger 图形化工具的更多信息，请参阅 第 4.6.8 节 “使用 Dnssec-trigger”。

VPN 一些连接类型可传输域和一系列域名服务器， 可用于作为 VPN 隧道安装部分的域。在 红帽企业版 Linux 中，这是由 NetworkManager 所支持的。这就是说， unbound、 dnssec-trigger 和 NetworkManager 的结合产物能够完全支持 VPN 软件所提供的域和域名服务器。一旦 VPN 隧道完成，就可以清除关于所有接收域名的登录在本机的 unbound 缓存，从而通过 VPN 获取的内部域名服务器中提取最新对域名名称的查询。终止 VPN 隧道时，则会再次清除 unbound 缓存，以确保任何对域的查询会返回给公用 IP 地址，而不会返回到原先获取的 IP 地址。请参阅〈 第 4.6.11 节 “对连接所提供的域进行 DNSSEC 验证配置” 〉。

Red Hat 建议，静态域名和动态域名都要与用于 DNS 机器的“ 完全合格域名 ”（FQDN，fully-qualified domain name）相匹配，如 host.example.com。

互联网名称与数字地址分配机构（ICANN，The Internet Corporation for Assigned Names and Numbers）有时会将原先未注册的顶级域名（TLD， Top-Level Domain ）（如 .yourcompany）添加到公共注册平台。因此，Red Hat 强烈建议，请勿使用不代表自己的域名，即使在专用网络。因为这可能导致同一域名根据网络配置进行不同的解析。结果，可能导致无法使用网络资源。使用一个不代表自己的域名也使 DNSSEC 的部署和维持更加困难，因为域名冲突需要手动配置才能启用 DNSSEC 验证。关于此问题的更多信息，请参阅〈 ICANN 域名冲突的常见问题（ICANN FAQ on domain name collision） 〉。

信任锚由 DNS 域名以及此域名相关的公用密钥（或公用密钥的散列值）组成。其表述为一个基本的 64 比特加密密钥。其类似于一种信息交换方式的证书，含有公用密钥，可用于对 DNS 记录进行核实和身份验证。关于信任锚更加完整的定义，请参阅〈 RFC 4033 〉。

dnssec-trigger 应用程序有GNOME panel 的功能，用于显示 DNSSEC 探测结果，以及用于执行 DNSSEC 探测命令请求。要启用此功能，则须按 Super 键进入应用程序概览视图（ Activities Overview），输入 DNSSEC ，然后再按 Enter 。一个形似船锚的图标将会添加到屏幕底部的消息托盘。可通过按屏幕底部右侧的蓝色圆形通知图标来显示。右击锚状图标，则会出现弹出式菜单。

正常操作下， unbound 在本机可用作域名服务器， resolv.conf 会指向 127.0.0.1。当您在 无线热点登录（Hotspot Sign-On） 界面点击 OK 时，这就会改变。 DNS 服务器受到 NetworkManager 的查询，并被放入 resolv.conf。然后您就可以在无线热点登录页面进行身份验证。锚状图标会显示巨大的红色感叹号以作警示，提醒您 DNS 查询的执行并不安全。身份验证后， dnssec-trigger 可自动检测，并转换到安全模式。尽管在某些情况下，它无法自动检测，则用户必须手工操作，选择 重新检测（Reprobe） 。

正常情况下，Dnssec-trigger 不需要用户进行交互操作。一旦 启用，它会在后台工作。如果出现问题，它会弹出消息框来通知用户。它也会将 resolv.conf 文件的变更通知 unbound 。

要查看 DNSSEC 是否在工作，则可用不同的命令行工具。最好的使用工具就是 bind-utils 工具包中的 dig 命令。其他可用的工具分别是， ldns 工具包中的 drill 和 unbound 工具包中的 unbound-host 。旧版的 DNS 实用程序 nslookup 和 host 都已过时，不应再使用。

要使用 dig 发送 DNSSEC 数据查询请求，则须添加 +dnssec 选项到命令中，例如：

~]$ dig +dnssec whitehouse.gov
; <<>> DiG 9.9.3-rl.13207.22-P2-RedHat-9.9.3-4.P2.el7 <<>> +dnssec whitehouse.gov
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21388
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;whitehouse.gov.			IN	A

;; ANSWER SECTION:
whitehouse.gov.		20	IN	A	72.246.36.110
whitehouse.gov.		20	IN	RRSIG	A 7 2 20 20130825124016 20130822114016 8399 whitehouse.gov. BB8VHWEkIaKpaLprt3hq1GkjDROvkmjYTBxiGhuki/BJn3PoIGyrftxR HH0377I0Lsybj/uZv5hL4UwWd/lw6Gn8GPikqhztAkgMxddMQ2IARP6p wbMOKbSUuV6NGUT1WWwpbi+LelFMqQcAq3Se66iyH0Jem7HtgPEUE1Zc 3oI=

;; Query time: 227 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 22 22:01:52 EDT 2013
;; MSG SIZE  rcvd: 233

除 A 记录之外，所返回的 RRSIG 记录含有 DNSSEC 签名以及签名的初始时间和截止时间。据 unbound 服务器显示，通过返回的顶端 flags: 区段下 ad 比特可知数据已经过 DNSSEC 身份验证。

如果 DNSSEC 验证失败，则 dig 命令将会返回 SERVFAIL 错误：

~]$ dig badsign-a.test.dnssec-tools.org
; <<>> DiG 9.9.3-rl.156.01-P1-RedHat-9.9.3-3.P1.el7 <<>> badsign-a.test.dnssec-tools.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 1010
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;badsign-a.test.dnssec-tools.org. IN	A

;; Query time: 1284 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 22 22:04:52 EDT 2013
;; MSG SIZE  rcvd: 60]

要请求查看关于失败的更多信息，则须指定 +cd 选项加入到 dig 命令中，以禁止 DNSSEC 检查：

~]$ dig +cd +dnssec badsign-a.test.dnssec-tools.org
; <<>> DiG 9.9.3-rl.156.01-P1-RedHat-9.9.3-3.P1.el7 <<>> +cd +dnssec badsign-a.test.dnssec-tools.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26065
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;badsign-a.test.dnssec-tools.org. IN	A

;; ANSWER SECTION:
badsign-a.test.dnssec-tools.org. 49 IN	A	75.119.216.33
badsign-a.test.dnssec-tools.org. 49 IN	RRSIG	A 5 4 86400 20130919183720 20130820173720 19442 test.dnssec-tools.org. E572dLKMvYB4cgTRyAHIKKEvdOP7tockQb7hXFNZKVbfXbZJOIDREJrr zCgAfJ2hykfY0yJHAlnuQvM0s6xOnNBSvc2xLIybJdfTaN6kSR0YFdYZ n2NpPctn2kUBn5UR1BJRin3Gqy20LZlZx2KD7cZBtieMsU/IunyhCSc0 kYw=

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 22 22:06:31 EDT 2013
;; MSG SIZE  rcvd: 257

通常， DNSSEC 错误会自己显示错误的初始时间或截止时间。尽管在本例中， www.dnssec-tools.org 的访问者蓄意损坏 RRSIG 签名，这是我们无法通过手动查看此输出来进行探测。错误将会显示在 systemctl status unbound 的输出中，且 unbound 守护进程会将这些错误记录到 syslog ，如下所示：

Aug 22 22:04:52 laptop unbound: [3065:0] info: validation failure badsign-a.test.dnssec-tools.org. A IN

使用 unbound-host的示例：

~]$ unbound-host -C /etc/unbound/unbound.conf -v whitehouse.gov
whitehouse.gov has address 184.25.196.110 (secure)
whitehouse.gov has IPv6 address 2600:1417:11:2:8800::fc4 (secure)
whitehouse.gov has IPv6 address 2600:1417:11:2:8000::fc4 (secure)
whitehouse.gov mail is handled by 105 mail1.eop.gov. (secure)
whitehouse.gov mail is handled by 110 mail5.eop.gov. (secure)
whitehouse.gov mail is handled by 105 mail4.eop.gov. (secure)
whitehouse.gov mail is handled by 110 mail6.eop.gov. (secure)
whitehouse.gov mail is handled by 105 mail2.eop.gov. (secure)
whitehouse.gov mail is handled by 105 mail3.eop.gov. (secure)

连接网络时， dnssec-trigger 会尝试探测无线热点。无线热点通常是一种会在可使用网络之前迫使用户进行网页交互的设备。通过尝试下载一已知内容的指定网页，来完成探测。如果存在无线热点，则不会有如预期所料的接收内容。

要设置一已知的固定网页，使其可通过 dnssec-trigger 用于探测无线热点，则须如下执行：

关于配置选取的更多信息，请参阅手册页的 dnssec-trigger.conf(8) 。

在默认情况下，转发区及其固有的域名服务器会通过 dnssec-trigger 自动添加到 unbound ，以用于任何通过 NetworkManager 的连接所提供的域，除了 Wi-Fi 连接之外。默认情况下，所有添加到 unbound 的转发区都已进行 DNSSEC 验证。

用于验证转发区的默认行为可被更改，从而所有的转发区在默认情况下将 不 会进行 DNSSEC 验证。要做到这一点，则须更改 dnssec-trigger 配置文件 /etc/dnssec.conf 下的 validate_connection_provided_zones 变量。作为 root 用户，打开并编辑以下命令行：

validate_connection_provided_zones=no

无法更改任何现有的转发区，只能更改未来的转发区。因此，如果您想禁止 DNSSEC 用于当前所提供的域，那么您需要重新连接。

add_wifi_provided_zones=yes

以下这些资源将对 DNSSEC 进行更多的 解释。

要安装 Libreswan，以 root 身份输入以下命令：

~]# yum install libreswan

检查 Libreswan是否已安装，输入以下命令：

~]$ yum info libreswan

新安装 Libreswan 之后， NSS 数据库将作为安装过程的一部分被初始化。但是，如果您要开始一个新的数据库，首先要按以下方式移除旧的数据库：

~]# rm /etc/ipsec.d/*db

然后，初始化一个新的 NSS 数据库，以 root 身份输入以下命令：

~]# ipsec initnss
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password:
Re-enter password:

如果您不想使用 NSS 密码，那么在被提示输入密码的时候，直接按两次 Enter。如果您输入了密码，那么每次 Libreswan 启动时， 您需要再次输入密码，就像每次系统启动时一样。

检查由 Libreswan 提供的 ipsec 后台程序是否运行，输入以下命令：

~]$ systemctl status ipsec
ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; disabled)
   Active: inactive (dead)

启动由 Libreswan 提供的 ipsec 后台程序，以 root 身份输入以下命令：

~]# systemctl start ipsec

确定后台程序正在运行：

~]$ systemctl status ipsec
ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; disabled)
   Active: active (running) since Wed 2013-08-21 12:14:12 CEST; 18s ago

确定启动系统式，Libreswan 也会启动，以 root 身份输入以下命令：

~]# systemctl enable ipsec

配置媒介以及基于主机的防火墙来允许 ipsec 服务。查阅 ＜第 4.5 节 “使用防火墙” ＞得到防火墙和允许指定程序通过的有关信息。Libreswan 要求防火墙允许以下数据包通过：

我们提供了三个例子，用 Libreswan 建立一个 IPsec VPN。第一个例子是将两个主机连接在一起，使之可以安全通讯。第二个例子是将两个站点连接起来组成一个网络。第三个例子是支持漫游用户，在此环境里被称为 road warriors。

Libreswan 不使用术语 “source”（来源） 或 “destination”（目的）。相反，它用术语 “left”（左边） 和 “right”（右边） 来代指终端（主机）。虽然大多数管理员用 “left” 表示本地主机，“right” 表示远程主机，但是这样可以再大多数情况下在两个终端上使用相同的配置。

有三种常用的方法为终端提供认证：

要配置 Libreswan 创建一个主机对主机 IPsec VPN，在两个被指定为 “left” 和 “right” 的主机之间，以 root 身份在指定为 “left” 的主机上输入以下命令，创建一个新的 RSA 秘钥组：

~]# ipsec newhostkey --configdir /etc/ipsec.d \
          --output /etc/ipsec.d/www.example.com.secrets
Generated RSA key pair using the NSS database

这样产生一个用于主机的 RSA 秘钥组。产生 RSA 的过程要花上好几分钟，尤其是在带低熵的虚拟机上。

要查看公共秘钥，以 root 身份在指定为 “left” 的主机上输入以下命令：

~]# ipsec showhostkey --left
# rsakey AQOrlo+hO
leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==

您需要这个秘钥来增加配置文件，如下文所示：

以 root 身份在指定为 “right” 的主机上输入以下命令：

~]# ipsec newhostkey --configdir /etc/ipsec.d \
          --output /etc/ipsec.d/www.example.com.secrets
Generated RSA key pair using the NSS database

要查看公共秘钥，以 root 身份在指定为 “right” 的主机上输入以下命令：

~]# ipsec showhostkey --right
# rsakey AQO3fwC6n
rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==

您将需要把这个秘钥增加到配置文件。

秘密的部分被存储在 /etc/ipsec.d/*.db 文件里，也称为 “NSS 数据库”。

要为这种主机对主机的通道建立配置文件，要把上面的行 leftrsasigkey= 和 rightrsasigkey= 增加到一个位于 /etc/ipsec.d/ 目录中的自定义配置里。要让 Libreswan 读出用户配置文件，则以 root 身份使用编辑器来编辑主配置文件 /etc/ipsec.conf ，并通过移除 # 注释符来使用以下行，这一行看起来是这样：

include /etc/ipsec.d/*.conf

以 root 身份使用编辑器，用如下格式创建一个带有合适名称的文件：

/etc/ipsec.d/my_host-to-host.conf

按照如下方式编辑文件：

conn mytunnel
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
    # load and initiate automatically
    auto=start

您可以在左右主机上使用完全相同的配置文件。系统会自动侦测 “left” 或 “right”。如果其中一个主机是移动主机，致使 IP 地址无法提前获取，那么就在移动主机上把 %defaultroute 用作它的 IP 地址。它能自动获取动态 IP 地址。在接受了来自接入手机的连接的静态主机上，用 %any 指定移动主机的 IP 地址。

确保 leftrsasigkey 值从 “left” 主机上获取，确定 rightrsasigkey 从 “right” 主机上获取。

重启 ipsec 来确保它读取新的配置：

~]# systemctl restart ipsec

以 root 输入以下命令来加载 IPsec 通道：

~]# ipsec auto --add mytunnel

要建立通道，在 left 或者 right，以 root 目录输入以下命令：

~]# ipsec auto --up mytunnel

~]# tcpdump -n -i interface esp and udp port 500 and udp port 4500
00:32:32.632165 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1a), length 132
00:32:32.632592 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1a), length 132
00:32:32.632592 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 7, length 64
00:32:33.632221 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1b), length 132
00:32:33.632731 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1b), length 132
00:32:33.632731 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 8, length 64
00:32:34.632183 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1c), length 132
00:32:34.632607 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1c), length 132
00:32:34.632607 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 9, length 64
00:32:35.632233 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1d), length 132
00:32:35.632685 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1d), length 132
00:32:35.632685 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 10, length 64

要为 Libreswan 创建一个点对点 IPsec VPN，并连接两个网络，要在两个主机之间创建一个 IPsec 通道，配置终端允许一个或者更多子网通过。所以，它们可以被看作是通向网络远程部分的门户。点对点 VPN 的配置和主机对主机 VPN 仅有的不同在于，必须在配置文件中指定一个或者更多的网络或子网。

要配置 Libreswan 来创建一个点对点 IPsec VPN，首先按照 ＜第 4.7.3 节 “使用 Libreswan 的主机对主机 VPN”＞ 所述，配置一个主机对主机 IPsec VPN，然后拷贝或者移动文件到一个带有适当名称的文件里，例如 /etc/ipsec.d/my_site-to-site.conf。以 root 身份使用编辑器编辑，编辑自定义配置文件 /etc/ipsec.d/my_site-to-site.conf 如下：

conn mysubnet
     also=mytunnel
     leftsubnet=192.0.1.0/24
     rightsubnet=192.0.2.0/24

conn mysubnet6
     also=mytunnel
     connaddrfamily=ipv6
     leftsubnet=2001:db8:0:1::/64
     rightsubnet=2001:db8:0:2::/64

conn mytunnel
    auto=start
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig

要建立通道，需重启 Libreswan 或者手动加载，并初始化所有连接，以 root 身份使用以下命令：

~]# ipsec auto --add mysubnet

~]# ipsec auto --add mysubnet6

~]# ipsec auto --add mytunnel

~]# ipsec auto --up mysubnet
104 "mysubnet" #1: STATE_MAIN_I1: initiate
003 "mysubnet" #1: received Vendor ID payload [Dead Peer Detection]
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
106 "mysubnet" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "mysubnet" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "mysubnet" #1: received Vendor ID payload [CAN-IKEv2]
004 "mysubnet" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_128 prf=oakley_sha group=modp2048}
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x9414a615 <0x1a8eb4ef xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

~]# ipsec auto --up mysubnet6
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x06fe2099 <0x75eaa862 xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

~]# ipsec auto --up mytunnel
104 "mytunnel" #1: STATE_MAIN_I1: initiate
003 "mytunnel" #1: received Vendor ID payload [Dead Peer Detection]
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
106 "mytunnel" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "mytunnel" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "mytunnel" #1: received Vendor ID payload [CAN-IKEv2]
004 "mytunnel" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_128 prf=oakley_sha group=modp2048}
117 "mytunnel" #2: STATE_QUICK_I1: initiate
004 "mytunnel" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x9414a615 >0x1a8eb4ef xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

通常，当点对点的通道创建完成，网关需要使用它们内在的 IP 地址，而不是它们公共的 IP 地址来互相联系。这使用单一隧道可以实现。如果名为 west 的 left 的主机，拥有内在的 IP 地址 192.0.1.254，如果名为east 的 right 的主机拥有内在的 IP 地址 192.0.2.254，可以使用单一隧道的配置可以被使用：

conn mysubnet
    leftid=@west.example.com
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    left=192.1.2.23
    leftsourceip=192.0.1.254
    leftsubnet=192.0.1.0/24
    rightid=@east.example.com
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    right=192.1.2.45
    rightsourceip=192.0.2.254
    rightsubnet=192.0.2.0/24
    auto=start
    authby=rsasig

经常， IPsec 被部署在集散体系结构。每个叶节点都有 IP 范围，它是更大范围的一部分。叶通过集线器相互联系。这被称为 “ 子网延伸”。在下列例子中，我们使用 10.0.0.0/8 配置总部及使用更小两个 /24 子网的分支。

在总部：

conn branch1
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=5.6.7.8
    rightid=@branch1
    righsubnet=10.0.1.0/24
    rightrsasigkey=0sAXXXX[...]
    #
    auto=start
    authby=rsasigkey

conn branch2
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=10.11.12.13
    rightid=@branch2
    righsubnet=10.0.2.0/24
    rightrsasigkey=0sAYYYY[...]
    #
    auto=start
    authby=rsasigkey

在 “branch1”的办公室，我们使用相同的链接。另外我们使用传递链接来排除我们从隧道被运送的本地 LAN 流量：

conn branch1
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=10.11.12.13
    rightid=@branch2
    righsubnet=10.0.1.0/24
    rightrsasigkey=0sAYYYY[...]
    #
    auto=start
    authby=rsasigkey

conn passthrough
    left=1.2.3.4
    right=0.0.0.0
    leftsubnet=10.0.1.0/24
    rightsubnet=10.0.1.0/24
    authby=never
    type=passthrough
    auto=route

Road Warrior 是具有动态分配 IP 地址的流动客户端的旅行用户，比如说笔记本电脑。这些通过证书进行身份验证。

在服务器上：

conn roadwarriors
    left=1.2.3.4
    # if access to the LAN is given, enable this
    #leftsubnet=10.10.0.0/16
    leftcert=gw.example.com
    leftid=%fromcert
    right=%any
    # trust our own Certificate Agency
    rightca=%same
    # allow clients to be behind a NAT router
    rightsubnet=vhost:%priv,%no
    authby=rsasigkey
    # load connection, don't initiate
    auto=add
    # kill vanished roadwarriors
    dpddelay=30
    dpdtimeout=120
    dpdaction=%clear

在流动客户端上，也就是 Road Warrior 的设备上，我们需要稍微修改以上配置：

conn roadwarriors
    # pick up our dynamic IP
    left=%defaultroute
    leftcert=myname.example.com
    leftid=%fromcert
    # right can also be a DNS hostname
    right=1.2.3.4
    # if access to the remote LAN is required, enable this
    #rightsubnet=10.10.0.0/16
    # trust our own Certificate Agency
    rightca=%same
    authby=rsasigkey
    # Initiate connection
    auto=start

当使用 XAUTH IPsec 扩展名来建立链接时，Libreswan 本身提供了分配 IP 地址的方法以及 DNS 信息去漫游VPN客户端。也可使用 PSK 或 X.509 证书来部署 XAUTH，使用 X.509 部署更安全。客户端证书可以被证书吊销列表或 “在线证书状态协议” (OCSP） 吊销。使用 X.509 证书，个体客户端不能模拟服务器。使用 PSK，也被称为组密码，在理论上是可行的。

此外，XAUTH 要求 VPN 客户端使用用户名和密码来识别自身。用一次性密码（OTP，One time Passwords),比如谷歌验证器或 RSA 安全 ID 标记，一次性标记可被附加到用户密码之后。

对XAUTH有三种可能的后端：

使用 X.509 证书的配置示例

conn xauth-rsa
    auto=add
    authby=rsasig
    pfs=no
    rekey=no
    left=ServerIP
    leftcert=vpn.example.com
    #leftid=%fromcert
    leftid=vpn.example.com
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    rightaddresspool=10.234.123.2-10.234.123.254
    right=%any
    rightrsasigkey=%cert
    modecfgdns1=1.2.3.4
    modecfgdns2=8.8.8.8
    modecfgdomain=example.com
    modecfgbanner="Authorized Access is allowed"
    leftxauthserver=yes
    rightxauthclient=yes
    leftmodecfgserver=yes
    rightmodecfgclient=yes
    modecfgpull=yes
    xauthby=pam
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    ike_frag=yes
    # for walled-garden on xauth failure
    # xauthfail=soft
    #leftupdown=/custom/_updown

当 xauthfail 被设定为“soft"，而不是 "hard"，验证失败便被忽略，VPN 被设定为像验证用户是成功的一样。从上至下的自定义脚本可以被用来检查环境变量 XAUTH_FAILED。这些用户可以被重新定向，比如使用 iptables DNAT 重新定向至 “墙内的花园” ，在那里他们可以联系管理员，或者更新这项服务的付费订阅。

VPN 客户端使用 modecfgdomain 值和 DNS 条目去重新定向为指定的域查询指定的名称服务器。这使得漫游用户可以使用内部 DNS 名称，来访问仅供内部使用的资源。

如果 leftsubnet 不是 0.0.0.0/0，拆分隧道配置请求会被自动送到客户端。比如说，当使用 leftsubnet=10.0.0.0/8，VPN 客户端只会通过 VPN 把流量送到 10.0.0.0/8。

接下来的信息源会提供关于 LibreSwan 以及 ipsec 后台程序的额外资源。

磁盘格式的 Linux 统一密钥设置（或称为 LUKS）可让您加密 Linux 计算机中的分区。这对可移动计算机以及可移动介质尤为重要。LUKS 可允许使用多个用户密钥解密用于分区批加密的主密钥。

cryptsetup luksAddKey <device>

cryptsetup luksRemoveKey <device>

GPG （GNU Privacy Guard，GNU 隐私卫士）用于识别您的身份，并对您的通信进行身份验证，包括那些您不认识的人。 GPG 允许任何通过读取 GPG 签名邮件来验证其身份的人使用。换句话说， 对于某些十分确定您所签名的通信实际上就是来源于您， GPG 允许那些人使用。 GPG 有用是因为它能防止第三方更改编码或中途拦截对话，更改信息。

openCryptoki 是一个 Linux 下的 PKCS#11 开源实现，是一种“ 公钥加密标准 ”（PKCS，Public-Key Cryptography Standard），定义了通常称为令牌的加密设备的应用程序接口（API）。令牌可在硬件或软件中执行。此特点概述了 openCryptoki 系统是如何安装、配置，以及如何在 Red Hat Enterprise Linux 7 中使用。

~]# yum install opencryptoki

~]# systemctl start pkcsslotd

~]# systemctl enable pkcsslotd

~]$ pkcsconf -t

默认 auditd 配置应该对大多数环境都适合。但是如果您的环境符合由 可控制存取保护档案（CAPP）所建立的标准，这将是公共标准认证的一部分，审核守护程序必须用以下设定配置：

剩余的配置选择应该根据当地安全政策建立。

auditctl 命令允许您控制审核系统的基本功能并且限定规则来决定哪些审核项目要记录。

以下是一些控制规则允许您修改审核系统的行为：

定义文件系统规则，使用以下语法：

auditctl -w path_to_file -p permissions -k key_name

其中：

~]# auditctl -w /etc/passwd -p wa -k passwd_changes

~]# auditctl -w /etc/selinux/ -p wa -k selinux_changes

~]# auditctl -w /sbin/insmod -p x -k module_insertion

为了定义系统调用规则，使用以下语法：

auditctl -a action,filter -S system_call -F 输入栏=value -k key_name

其中：

~]# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

~]# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

~]# auditctl -a always,exit -F path=/etc/shadow -F perm=wa

为了定义在重新启动时可以一直有效的审核规则，您必须把它们包含在 /etc/audit/audit.rules 文件中。这个文件使用相同的 auditctl 命令行语法来详细说明规则。任何在 # 之后的空行或者文本（#）可以忽略。

auditctl 指令可以被用来读取来自指定文件的规则，使用 -R 选项，例如：

~]# auditctl -R /usr/share/doc/audit-version/stig.rules

文件可以只包括以下的控制规则，修改审核系统的行为： -b、-D、-e、-f、或者 -r。如果想获取更多信息，请参考 “定义控制规则”一节。

# Delete all previous rules
-D

# Set buffer size
-b 8192

# Make the configuration immutable -- reboot is required to change audit rules
-e 2

# Panic when a failure occurs
-f 2

# Generate at most 100 audit messages per second
-r 100

使用 auditctl 语法定义文件系统和系统调用原则。在〈第 5.5.1 节 “使用 auditctl 实用程序来定义审核规则”〉中的例子可以用以下规则文件来表示：

-w /etc/passwd -p wa -k passwd_changes
-w /etc/selinux/ -p wa -k selinux_changes
-w /sbin/insmod -p x -k module_insertion

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

在 /usr/share/doc/audit-version/ 目录中, 根据不同的认证标准 audit 软件包提供一组预配置规则文件：

为了使用这些配置文件，需要创造您原始文件的备份 /etc/audit/audit.rules 并且复制您所选择的有关 /etc/audit/audit.rules 文件的配置文件:

~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup
~]# cp /usr/share/doc/audit-version/stig.rules /etc/audit/audit.rules

XCCDF 语言被设计为支持信息交换、文档生成、组织化和情境化调整、自动一致性测试以及符合性评分。该语言主要是描述性质的，并不包含任何用来执行安全扫描的命令。然而，XCCDF 文档可以作为其他 SCAP 组件的参考，而且就其本身而言，它也可以被用于制作合规策略，移植到除相关的评估文档（OVAL、 OCIL）以外的所有目标平台。

通常，可以用一组 XML 文件中包含一个 XCCDF 清单的方法来表示合规策略。该 XCCDF 文件通常指向了评估资源、多重 OVAL，OCIL 以及脚本检查引擎（SCE）文件。此外，该文件集可以包含有 CPE 字典文件和为此字典定义了对象的 OVAL 文件。

作为一种基于 XML 的语言，XCCDF 定义并使用了大量可供选择的 XML 元素以及特性。下表简要介绍了主要的 XCCDF 元素；有关 XCCDF 更多的细节，请查阅 NIST跨机构报告7275 第 4修订版.

        
<?xml version="1.0" encoding="UTF-8"?>
<Benchmark xmlns="http://checklists.nist.gov/xccdf/1.2"
    id="xccdf_com.example.www_benchmark_test">
  <status>incomplete</status>
  <version>0.1</version>
  <Profile id="xccdf_com.example.www_profile_1">
    <title>Profile title is compulsory</title>
    <select idref="xccdf_com.example.www_group_1" 
        selected="true"/>
    <select idref="xccdf_com.example.www_rule_1" 
        selected="true"/>
    <refine-value idref="xccdf_com.example.www_value_1"
        selector="telnet service"/>
  </Profile>
  <Group id="xccdf_com.example.www_group_1">
    <Value id="xccdf_com.example.www_value_1">
      <value selector="telnet_service">telnet-server</value>
      <value selector="dhcp_servide">dhcpd</value>
      <value selector="ftp_service">tftpd</value>
    </Value>
    <Rule id="xccdf_com.example.www_rule_1">
      <title>The telnet-server Package Shall Not Be Installed </title>
      <rationale>
        Removing the telnet-server package decreases the risk
        of the telnet service’s accidental (or intentional) activation
      </rationale>
      <fix platform="cpe:/o:redhat:enterprise_linux:6" 
          reboot="false" 
          disruption="low" 
          system="urn:xccdf:fix:script:sh">
        yum -y remove 
        <sub idref="xccdf_com.example.www_value_1"/>
      </fix>
      <check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
        <check-export value-id="xccdf_com.example.www_value_1" 
            export-name="oval:com.example.www:var:1"/>
        <check-content-ref href="examplary.oval.xml" 
            name="oval:com.example.www:def:1"/>
      </check>
      <check system="http://open-scap.org/page/SCE">
        <check-import import-name="stdout"/>
        <check-content-ref href="telnet_server.sh"/>
      </check>
    </Rule>
  </Group>
</Benchmark>        

OVAL（开放式漏洞评估语言）是 SCAP 中必不可少的和最初始的组成部分。OVAL 标准的主要目标是开启安全产品之间的互通互用能力。这由下面三个领域的标准化实现：

有别于其他工具或者自定义脚本，OVAL 语言以声明的形式描述了资源的理想状态。OVAL 语言代码不能被直接执行，而是依靠一个叫做 扫描软件的 OVAL 解释工具去执行。OVAL 所具备的声明性质保证了受评估系统的状态不会被意外地改变，这一点是非常重要的，因为安全扫描工具通常运行在可能获取的最高权限上。

OVAL 规范对公众意见与贡献、各类与 MITRE 合作的 IT 公司，以及由联邦政府资助的非营利组织开放。OVAL 规范一直在持续地进化中，不同版本间通过版本号进行区分。当前版本5.10.1发布于2012年1月。

类似所有其他的 SCAP 组件，OVAL 基于 XML 。OVAL 标准定义了几种文档格式。它们各自包含了不同种类的信息，服务于不同的目的。

OVAL定义文档由一组配置需求所组成，每组需求在以下五个基本层面做了定义：定义、 测试、目标、声明， 和 变量。 定义部分内的元素描述了哪些测试应该被实现以便满足给定的定义。测试元素将对象与状态联系在了一起。在系统评估过程中，当一个受评估系统的资源可以用给定对象元素符合给定状态元素来表示，那么这个测试就会被认为是通过的。 变量部分定义了外部变量，这些外部变量可能被用于调整来自状态部分的元素。除了这些部分以外， OVAL 定义文档通常也包括 发生器 和 签名 部分。发生器 部分保存有关文档来源的信息以及各种与自身内容相关的额外信息。

每一种 OVAL 文档基础部分中的元素都可以明确地通过下表中的标识符进行识别：

oval:namespace:type:ID

namespace 是一个由命名空间定义的标识符 type 要么是定义元素 def ，要么是测试元素的 tst ，要么是对象元素 obj ，要么是状态元素 ste ，要么是变量元素 var ，而且ID 是标识符的一个整数值。

          
<?xml version="1.0" encoding="utf-8"?>
<oval_definitions
    xmlns:lin-def="http://oval.mitre.org/XMLSchema/oval-definitions-5#linux"
    xmlns:oval="http://oval.mitre.org/XMLSchema/oval-common-5"
    xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <generator>
    <oval:product_name>vim</oval:product_name>
    <oval:schema_version>5.10.1</oval:schema_version>
    <oval:timestamp>2012-11-22T15:00:00+01:00</oval:timestamp>
  </generator>
  <definitions>
    <definition class="inventory" 
        id="oval:org.open-scap.cpe.rhel:def:7" 
        version="1">
      <metadata>
        <title>Red Hat Enterprise Linux 7</title>
        <affected family="unix">
          <platform>Red Hat Enterprise Linux 7</platform>
        </affected>
        <reference ref_id="cpe:/o:redhat:enterprise_linux:7" 
            source="CPE"/>
        <description>
          The operating system installed on the system is Red Hat Enterprise Linux 7
        </description>
      </metadata>
      <criteria>
        <criterion comment="Red Hat Enterprise Linux 7 is installed" 
            test_ref="oval:org.open-scap.cpe.rhel:tst:7"/>
      </criteria>
    </definition>
  </definitions>
  <tests>
    <lin-def:rpminfo_test check_existence="at_least_one_exists" 
        id="oval:org.open-scap.cpe.rhel:tst:7" 
        version="1" 
        check="at least one" 
        comment="redhat-release is version 7">
      <lin-def:object object_ref="oval:org.open-scap.cpe.redhat-release:obj:1"/>
      <lin-def:state state_ref="oval:org.open-scap.cpe.rhel:ste:7"/>
    </lin-def:rpminfo_test>
  </tests>
  <objects>
    <lin-def:rpmverifyfile_object id="oval:org.open-scap.cpe.redhat-release:obj:1" 
        version="1">
      <!-- This object represents rpm package which owns /etc/redhat-release file -->
      <lin-def:behaviors nolinkto='true' 
          nomd5='true' 
          nosize='true' 
          nouser='true' 
          nogroup='true' 
          nomtime='true' 
          nomode='true' 
          nordev='true' 
          noconfigfiles='true' 
          noghostfiles='true' />
      <lin-def:name operation="pattern match"/>
      <lin-def:epoch operation="pattern match"/>
      <lin-def:version operation="pattern match"/>
      <lin-def:release operation="pattern match"/>
      <lin-def:arch operation="pattern match"/>
      <lin-def:filepath>/etc/redhat-release</lin-def:filepath>
    </lin-def:rpmverifyfile_object>
  </objects>
  <states>
    <lin-def:rpminfo_state id="oval:org.open-scap.cpe.rhel:ste:7" 
        version="1">
      <lin-def:name operation="pattern match">^redhat-release</lin-def:name>
      <lin-def:version operation="pattern match">^7[^\d]</lin-def:version>
    </lin-def:rpminfo_state>
  </states>
</oval_definitions>

SCAP 数据流是一种文件格式，自 SCAP 1.2 版本起开始使用，它代表了 XCCDF、OVAL 还有其他组件文件组成的包，可以被用来定义一个由 XCCDF 清单所表达的合规策略。它还包含一个索引和目录，允许按照 SCAP 组件把已知数据流分解成为文件。

数据流使用 XML 格式，包含了一个由一整个表的内容所构成的数据头以及一系列 <ds:component> 元素。每一个元素均包含一个 SCAP 组件，例如 XCCDF、OVAL、CPE 以及其他。数据流文件可以包含相同类型的多个组件，并且因此可以覆盖到所有您您的企业所需要的安全策略。

        
<ds:data-stream-collection xmlns:ds="http://scap.nist.gov/schema/scap/source/1.2" 
    xmlns:xlink="http://www.w3.org/1999/xlink" 
    xmlns:cat="urn:oasis:names:tc:entity:xmlns:xml:catalog" 
    id="scap_org.open-scap_collection_from_xccdf_ssg-rhel7-xccdf-1.2.xml"
    schematron-version="1.0">
  <ds:data-stream id="scap_org.open-scap_datastream_from_xccdf_ssg-rhel7-xccdf-1.2.xml" 
      scap-version="1.2" use-case="OTHER">
  <ds:dictionaries>
    <ds:component-ref id="scap_org.open-scap_cref_output--ssg-rhel7-cpe-dictionary.xml" 
        xlink:href="#scap_org.open-scap_comp_output--ssg-rhel7-cpe-dictionary.xml">
      <cat:catalog>
        <cat:uri name="ssg-rhel7-cpe-oval.xml" 
            uri="#scap_org.open-scap_cref_output--ssg-rhel7-cpe-oval.xml"/>
      </cat:catalog>
    </ds:component-ref>
  </ds:dictionaries>
  <ds:checklists>
    <ds:component-ref id="scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml" 
        xlink:href="#scap_org.open-scap_comp_ssg-rhel7-xccdf-1.2.xml">
      <cat:catalog>
        <cat:uri name="ssg-rhel7-oval.xml" 
            uri="#scap_org.open-scap_cref_ssg-rhel7-oval.xml"/>
      </cat:catalog>
    </ds:component-ref>
  </ds:checklists>
  <ds:checks>
    <ds:component-ref id="scap_org.open-scap_cref_ssg-rhel7-oval.xml" 
        xlink:href="#scap_org.open-scap_comp_ssg-rhel7-oval.xml"/>
    <ds:component-ref id="scap_org.open-scap_cref_output--ssg-rhel7-cpe-oval.xml" 
        xlink:href="#scap_org.open-scap_comp_output--ssg-rhel7-cpe-oval.xml"/>
    <ds:component-ref id="scap_org.open-scap_cref_output--ssg-rhel7-oval.xml" 
        xlink:href="#scap_org.open-scap_comp_output--ssg-rhel7-oval.xml"/>
  </ds:checks>
</ds:data-stream>
<ds:component id="scap_org.open-scap_comp_ssg-rhel7-oval.xml"
    timestamp="2014-03-14T16:21:59">
  <oval_definitions xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5" 
      xmlns:oval="http://oval.mitre.org/XMLSchema/oval-common-5" 
      xmlns:ind="http://oval.mitre.org/XMLSchema/oval-definitions-5#independent" 
      xmlns:unix="http://oval.mitre.org/XMLSchema/oval-definitions-5#unix" 
      xmlns:linux="http://oval.mitre.org/XMLSchema/oval-definitions-5#linux" 
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
      xsi:schemaLocation="http://oval.mitre.org/XMLSchema/oval-common-5 
      oval-common-schema.xsd 
          http://oval.mitre.org/XMLSchema/oval-definitions-5 
      oval-definitions-schema.xsd
          http://oval.mitre.org/XMLSchema/oval-definitions-5#independent 
      independent-definitions-schema.xsd
          http://oval.mitre.org/XMLSchema/oval-definitions-5#unix 
      unix-definitions-schema.xsd
          http://oval.mitre.org/XMLSchema/oval-definitions-5#linux 
      linux-definitions-schema.xsd">

若要在系统中安装 SCAP 控制台，请以 root 身份运行以下命令：

~]# yum install scap-workbench

该命令安装所有保证 SCAP 工作台能够正常工作的软件包，包括 scap-workbench 软件包提供的工具本身。需要注意的是，所需的依赖项，例如 qt 和 openssh 软件包，如果已经安装在您的系统中的话，将会被自动更新到可用的最新版本。

在您可以开始有效率地使用 SCAP 工作台之前，您还需要安装或者导入一些安全内容到您的系统中。您可以从相应的网站下载 SCAP 内容，或者，如果指定 RPM 文件或者安装包的话，您可以使用 Yum 软件包管理器从指定的位置或者资料库进行安装。

例如，您可以安装《SCAP 安全指南》（SSG）包， scap-security-guide, 包含目前 Linux 系统最先进最详尽的安全策略设置。请参阅 SSG 项目 页，了解怎样在系统中部署该软件包的具体步骤。

当您在系统中安装完 scap-security-guide 以后，除非另有指明，否则 SSG 安全内容可以在 /usr/share/xml/scap/ssg/rhel7/ 目录下找到，而且您可以继续进行其他安全合规操作。

为了找到其他可能符合您需求的现有 SCAP 内容来源，请参阅 〈第 6.7 节 “附加资源”〉。

在成功安装 SCAP 工作台工具和 SCAP 内容以后，您就可以在您的系统中开始使用 SCAP 工作台了。为了从 GNOME 传统桌面环境中使用 SCAP 工作台，请按下 Super 键进入活动概览，输入 scap-workbench，然后按下 Enter。Super 键以各种形式出现，取决于键盘和其他硬件，但往往不是“Windows”键就是“Command”键，而且通常出现在 Spacebar 键的左侧。

一旦您启动该实用程序， SCAP Workbench 窗口就会出现。SCAP 工作台窗口包含许多交互式组件，您应该在开始扫描您的系统之前先熟悉这些组件：

SACP 工作台的主要功能是依照给定的 XCCDF 或者数据流文件，在被选中的系统中执行安全扫描。若要评估您的系统有没有违反所选的安全策略，请遵循下列步骤：

选择好适合您的安全策略的安全配置文件以后，您可以通过点击 Customize 按钮来进一步调整。这将打开一个新的调整窗口，该窗口允许您修改当前选中的 XCCDF 配置文件，而实际上并不用改动各自的 XCCDF 文件。

Tailoring 窗口包含了一整套与选中的安全配置文件相关的 XCCDF 元素，这些安全配置文件包含了每个元素及其功能的详细信息。您可以通过在该窗口的主要领域选择或者反向选择相应的复选框来打开或者关闭这些元素。该调整窗口还支持 undo 和 redo 功能；您可以通过点击窗口左上角各自的箭头图标来撤销或者重做您的选择。

当您完成您的配置文件定制后，通过点击 Finish Tailoring 按钮来确认这些变更。您所做的变更被保存在内存中，如果 SCAP 工作台被关闭或者产生了某些变化，比如选择了一个新的 SCAP 内容或者另一个调整选项，您所做的变更将不复存在。如果您希望这些变更被储存下来，请点击 SCAP Workbench 窗口中的Save Tailoring 按钮。该操作允许您以一个 XCCDF 调整文件的方式在选中的目录下保存您对安全配置文件所做的变更。需要注意的是该调整文件以后也可以与其他配置文件一起选择。

SCAP 工作台也可以允许您保存被用于您的系统评估中的 SCAP 内容。您既可以分开保存调整文件 (请参阅〈 第 6.3.4 节 “定制安全配置文件”〉) ，也可以通过点击 Save content 下拉列表框，选择 Save into a directory 或者 Save as RPM 选项来一次性保存所有的安全内容。

通过选中 Save into a directory 选项，SCAP 工作台将 XCCDF 或数据流文件和调整文件两者都保存到指定的位置。这可以作为一个有效的备份方案。

通过选中 Save as RPM 选项，您可以令 SCAP 工作台创建一个包含 XCCDF 或数据流文件和调整文件的 RPM 包。这对于分发期望的安全内容到那些无法被远程扫描的系统，或者仅仅是为了实现今后对内容的进一步处理，是非常有用处的。

当系统扫描结束以后，两个新的按钮， Clear 和 Report，会出现并取代 Scan 按钮。

您可以通过点击 Report 按钮来展示和进一步处理扫描结果，该操作会打开 Evaluation Report 窗口。此窗口包含 Save 下拉列表框，还有两个按钮， Open in Browser，和 Close。

您可以通过点击 Save 下拉列表框来以 XCCDF、ARF 或者 HTML 文件的形式来保存扫描结果。选中 HTML Report 选项来生成可读的扫描报告。XCCDF 和 ARF（数据流）格式适合进一步地自动化处理。您可以反复去选择这三个选项。

如果您喜欢便能立即查看而不保存扫描报告，您可以点击 Open in Browser 按钮，这将以一个临时的 HTML 文件默认的网络浏览器中打开这些扫描报告。

为了安装 oscap 到您的系统中，需要以 root 用户身份运行以下命令：

~]# yum install openscap-utils

此命令允许您安装保证 oscap 正常运行所需的所有安装包，包括提供实用工具自身的 openscap 软件包。如果您想编写您自己的安全内容，您也应该安装 openscap-engine-sce 包，这个安装包提供了脚本检查引擎（SCE）。SCE 是 SCAP 的一个扩展协议，允许内容作者使用脚本语言去编写自己的安全内容，例如 Bash 语言，Python 语言或者 Ruby 语言。该安装包可以以和 openscap-utils 软件包同样的方式进行安装。

根据需要，在安装完 oscap 后，您可以检查您所安装 oscap 版本的功能，比如它支持什么样的规格，某个 oscap 文件储存在什么位置，能使用什么样的 SCAP 对象，以及其他有用的信息。要显示此信息，请输入以下命令：

~]$ oscap -V
OpenSCAP command line tool (oscap) 1.0.4
Copyright 2009--2014 Red Hat Inc., Durham, North Carolina.

==== Supported specifications ====
XCCDF Version: 1.2
OVAL Version: 5.10.1
CPE Version: 2.3
CVSS Version: 2.0
CVE Version: 2.0
Asset Identification Version: 1.1
Asset Reporting Format Version: 1.1

==== Capabilities added by auto-loaded plugins ====
SCE Version: 1.0 (from libopenscap_sce.so.8)

==== Paths ====
Schema files: /usr/share/openscap/schemas
Schematron files: /usr/share/openscap/xsl
Default CPE files: /usr/share/openscap/cpe
Probes: /usr/libexec/openscap

==== Inbuilt CPE names ====
Red Hat Enterprise Linux - cpe:/o:redhat:enterprise_linux
Red Hat Enterprise Linux 5 - cpe:/o:redhat:enterprise_linux:5
Red Hat Enterprise Linux 6 - cpe:/o:redhat:enterprise_linux:6
Red Hat Enterprise Linux 7 - cpe:/o:redhat:enterprise_linux:7
Fedora 16 - cpe:/o:fedoraproject:fedora:16
Fedora 17 - cpe:/o:fedoraproject:fedora:17
Fedora 18 - cpe:/o:fedoraproject:fedora:18
Fedora 19 - cpe:/o:fedoraproject:fedora:19
Fedora 20 - cpe:/o:fedoraproject:fedora:20
Fedora 21 - cpe:/o:fedoraproject:fedora:21
Red Hat Enterprise Linux Optional Productivity Applications - cpe:/a:redhat:rhel_productivity
Red Hat Enterprise Linux Optional Productivity Applications 5 - cpe:/a:redhat:rhel_productivity:5

==== Supported OVAL objects and associated OpenSCAP probes ====
system_info                  probe_system_info           
family                       probe_family                
filehash                     probe_filehash              
environmentvariable          probe_environmentvariable   
textfilecontent54            probe_textfilecontent54     
textfilecontent              probe_textfilecontent       
variable                     probe_variable              
xmlfilecontent               probe_xmlfilecontent        
environmentvariable58        probe_environmentvariable58 
filehash58                   probe_filehash58            
inetlisteningservers         probe_inetlisteningservers  
rpminfo                      probe_rpminfo               
partition                    probe_partition             
iflisteners                  probe_iflisteners           
rpmverify                    probe_rpmverify             
rpmverifyfile                probe_rpmverifyfile         
rpmverifypackage             probe_rpmverifypackage      
selinuxboolean               probe_selinuxboolean        
selinuxsecuritycontext       probe_selinuxsecuritycontext
file                         probe_file                  
interface                    probe_interface             
password                     probe_password              
process                      probe_process               
runlevel                     probe_runlevel              
shadow                       probe_shadow                
uname                        probe_uname                 
xinetd                       probe_xinetd                
sysctl                       probe_sysctl                
process58                    probe_process58             
fileextendedattribute        probe_fileextendedattribute 
routingtable                 probe_routingtable

在可以开始有效率地使用 oscap 实用工具之前，您还必须安装或者导入一些安全内容到您的系统中。您可以从相应的网站中下载 SCAP 内容，或者，如果指定为 RPM 文件或者软件包，您可以使用 Yum 安装包管理器从指定位置或者资料库进行安装。

例如，您可以安装《 SCAP 安全指南》 （SSG） 软件包， scap-security-guide，该软件包包含了 Linux 系统最新的一套安全策略。请参阅 SSG project 页，了解在您的系统中部署该软件包的具体步骤。

当您在系统中安装完 scap-security-guide 以后，除非另有指明，否则 SSG 安全内容可以在 /usr/share/xml/scap/ssg/rhel7/ 目录下找到，而且您可以继续进行其他安全合规操作。

为了找到其他可能符合您需求的现有 SCAP 内容来源，请参阅 〈第 6.7 节 “附加资源”〉。

在您的系统中安装好 SCAP 内容以后， oscap 可以通过指定文件路径到内容的方式处理这些内容。 oscap 工具支持 SCAP 1.2 版本，同时它向下兼容 SCAP 1.1和1.0版本，这样它就可以直接处理 SCAP 内容的早期版本而无需任何特殊的需求。

SCAP 标准定义了众多文件格式。 oscap 工具可以处理或者创建符合许多格式的文件。为了进一步处理与 SCAP 内容相关的给定文件，您需要了解如何根据给定的文件类型来运用 oscap 。如果不确定如何使用一个特定的文件，您既可以打开这个文件，也可以读取这个文件，或者您也可以使用 oscap的 info 模块，解析文件，并以可读的格式提取相关信息。

运行下列命令来检查 SCAP 文档的内部结构，并显示有用的信息，例如文档类型、规范版本、文档的状态、文档的发布日期，以及文档被复制到系统中的日期：

oscap info file

其中 file 是正在被检查的安全内容的完整路径。下面的示例更能说明 oscap info 命令的用法：

~]$ oscap info /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xmal
Document type: Source Data Stream
Imported: 2014-03-14T12:22:01

Stream: scap_org.open-scap_datastream_from_xccdf_ssg-rhel7-xccdf-1.2.xml
Generated: (null)
Version: 1.2
Checklists:
        Ref-Id: scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml
                Profiles:
                        xccdf_org.ssgproject.content_profile_test
                        xccdf_org.ssgproject.content_profile_rht-ccp
                        xccdf_org.ssgproject.content_profile_common
                        xccdf_org.ssgproject.content_profile_stig-rhel7-server-upstream
                Referenced check files:
                        ssg-rhel7-oval.xml
                                system: http://oval.mitre.org/XMLSchema/oval-definitions-5
Checks:
        Ref-Id: scap_org.open-scap_cref_ssg-rhel7-oval.xml
        Ref-Id: scap_org.open-scap_cref_output--ssg-rhel7-cpe-oval.xml
        Ref-Id: scap_org.open-scap_cref_output--ssg-rhel7-oval.xml
Dictionaries:
        Ref-Id: scap_org.open-scap_cref_output--ssg-rhel7-cpe-dictionary.xml

oscap 最重要的功能是在本地系统上执行配置与漏洞扫描。以下是各个命令的一般语法：

oscap [options] module eval [module_operation_options_and_arguments]

oscap 工具可以针对由两方代表的 SCAP 内容扫描系统，这两方包括XCCDF （可扩展的配置检查清单描述格式）基准和 OVAL （开放弱点评估语言）定义。安全策略可以以单独的OVAL文件或者XCCDF文件的形式存在，也可以以多个单独的 XML 文件的形式存在 ，这里每个 XML 文件代表了不同的组件（XCCDF, OVAL, CPE, CVE, 还有其他）。扫描结果可以打印为两种，标准输出和 XML 文件。结果文件可以经由 oscap 做进一步处理以便生成可读的报告。下面的例子说明了该命令最常见的用法。

~]$ oscap oval eval --results scan-oval-results.xml /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

~]$ oscap oval eval --id oval:ssg:def:100 --results scan-oval-results.xml /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results scan-xccdf-results.xml scan-xccdf-results.xml /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

oscap 的另一个有用的功能是能够生成可读的 SCAP 内容。oscap 实用工具允许您将一个XML文件转换成 HTML 或者纯文本格式。该功能被用于生成安全指南或者清单，这些指南或清单可以作为信息的来源，同样也可以用于指导安全系统配置。系统扫描结果也可以被转换成高可读性的结果报告。一般的命令语法如下：

oscap module generate sub-module [specific_module/sub-module_options_and_arguments] file

这里 module 是 xccdf 或 oval 两者之一， sub-module 是一种生成的文档，并且 file 代表一个 XCCDF 或者 OVAL 文件。

下面展示的是该命令在使用过程中最常见的例子：

~]$ oscap xccdf generate guide --profile xccdf_org.ssgproject.content_profile_rht-ccp /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml > ssg-guide-checklist.html

~]$ oscap oval generate report scan-oval-results.xml > ssg-scan-oval-report.html

~]$ oscap xccdf generate report scan-xccdf-results.xml > scan-xccdf-report.html

~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --resultsscan-xccdf-results.xml --report scan-xccdf-report.html/usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

在系统中使用安全策略之前，您应该首先验证所使用的策略，以避免该策略可能包含的任何语法或者语意上的错误。 oscap 实用工具可被用于验证针对标准 SCAP XML 架构的安全内容。验证结果会被打印到标准错误流 (stderr) 中。该验证命令的一般语法如下：

oscap module validate [module_options_and_arguments] file

这里 file 被验证是该文件的完整路径。唯一例外的是数据流模块 (ds)，这里使用的是 ds-validate 操作来代替 validate。需要注意的是，所有给定数据流中的 SCAP 组件都会被自动验证，而且没有任何组件会被单独指定，这点从下面的例子中就可以看出：

~]$ oscap ds sds-validate /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

对于某些 SCAP 内容，比如 OVAL 规范，您也可以执行 Schematron 验证。 Schematron 验证比标准验证慢，但是提供了更深入的分析，并因此能够检测出更多的错误。下面的 SSG 示例显示了该命令的典型用法：

~]$ oscap oval validate --schematron /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

红帽会为其产品提供持续不断的 OVAL 定义。这些定义允许在已安装的软件中开启漏洞完全自动化审计。要了解项目的更多信息，请查阅 http://www.redhat.com/security/data/metrics/。要下载这些定义，请运行以下命令：

~]$ wget http://www.redhat.com/security/data/oval/com.redhat.rhsa-all.xml

红帽 Satellite 5的用户可能会发现补丁定义中有帮助的 XCCDF 部分。要下载这些定义，请运行以下命令：

~]$ wget http://www.redhat.com/security/data/metrics/com.redhat.rhsa-all.xccdf.xml

要审核系统中已安装软件的安全漏洞，请运行以下命令：

~]$ oscap oval eval --results rhsa-results-oval.xml --report oval-report.html com.redhat.rhsa-all.xml

oscap 工具将Red Hat Security Advisories 映射到了 CVE 标识符中，这些标识符与国家漏洞数据库相连，且会报告哪些安全公告没有被应用到系统中。

SCAP 安全策略 （SSG） 项目软件包， scap-security-guide，包含了 Linux 系统最新的安全策略设置。请参阅 SSG project 页面了解如何在您的系统中部署该软件包。部分 scap-security-guide 也可以为红帽企业版 Linux 7的设置提供指导。要检查 scap-security-guide 中存在的安全内容，请使用 oscap info 模块：

~]$ oscap info /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml

这个命令输出的是 SSG 文档的一个概述，它包含了可用的配置文件。要对您的系统设置进行审核，请选择一个合适的配置文件，并运行恰当的评估命令。例如，针对草拟的配置文件，下面的命令为经过认证的红帽云供应商对给定的系统进行评估：

~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results ssg-rhel7-xccdf-result.xml --report ssg-rhel7-report.html /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml