Jump To Close Expand all Collapse all Table of contents 安全指南 1. 安全主题概述 Expand section "1. 安全主题概述" Collapse section "1. 安全主题概述" 1.1. 什么是计算机安全性? Expand section "1.1. 什么是计算机安全性?" Collapse section "1.1. 什么是计算机安全性?" 1.1.1. 标准化安全 1.1.2. 加密软件和认证 1.2. 安全控制 Expand section "1.2. 安全控制" Collapse section "1.2. 安全控制" 1.2.1. 物理控制 1.2.2. 技术控制 1.2.3. 管理控制 1.3. 漏洞评估 Expand section "1.3. 漏洞评估" Collapse section "1.3. 漏洞评估" 1.3.1. 定义评估和测试 1.3.2. 为漏洞评估建立方法论 1.3.3. 漏洞评估工具 Expand section "1.3.3. 漏洞评估工具" Collapse section "1.3.3. 漏洞评估工具" 1.3.3.1. 使用 Nmap 扫描主机 Expand section "1.3.3.1. 使用 Nmap 扫描主机" Collapse section "1.3.3.1. 使用 Nmap 扫描主机" 1.3.3.1.1. 使用 Nmap 1.3.3.2. Nessus 1.3.3.3. OpenVAS 1.3.3.4. Nikto 1.4. Security Threats Expand section "1.4. Security Threats" Collapse section "1.4. Security Threats" 1.4.1. 网络安全隐患 1.4.2. 服务器安全隐患 1.4.3. 工作站和家庭 PC 安全的威胁 1.5. Common Exploits 和 Attacks 2. 安装的安全提示 Expand section "2. 安装的安全提示" Collapse section "2. 安装的安全提示" 2.1. 保护 BIOS Expand section "2.1. 保护 BIOS" Collapse section "2.1. 保护 BIOS" 2.1.1. BIOS 密码 Expand section "2.1.1. BIOS 密码" Collapse section "2.1.1. BIOS 密码" 2.1.1.1. 保护基于非 BIOS 的系统 2.2. 对磁盘进行分区 2.3. 安装最小软件包挂载 2.4. 在安装过程中限制网络连接 2.5. 安装后的步骤 2.6. 其它资源 3. 使您的系统保持最新状态 Expand section "3. 使您的系统保持最新状态" Collapse section "3. 使您的系统保持最新状态" 3.1. 维护已安装的软件 Expand section "3.1. 维护已安装的软件" Collapse section "3.1. 维护已安装的软件" 3.1.1. 规划和配置安全更新 Expand section "3.1.1. 规划和配置安全更新" Collapse section "3.1.1. 规划和配置安全更新" 3.1.1.1. 使用 Yum 的安全功能 3.1.2. 更新和安装软件包 Expand section "3.1.2. 更新和安装软件包" Collapse section "3.1.2. 更新和安装软件包" 3.1.2.1. 验证签名的软件包 3.1.2.2. 安装签名软件包 3.1.3. 应用由安装更新引入的变化 3.2. 使用红帽客户门户网站 Expand section "3.2. 使用红帽客户门户网站" Collapse section "3.2. 使用红帽客户门户网站" 3.2.1. 在客户门户网站中查看安全公告 3.2.2. CVE 客户门户网站页面 3.2.3. 了解问题严重性分级 3.3. 其它资源 4. 使用工具和服务强化您的系统 Expand section "4. 使用工具和服务强化您的系统" Collapse section "4. 使用工具和服务强化您的系统" 4.1. 桌面安全性 Expand section "4.1. 桌面安全性" Collapse section "4.1. 桌面安全性" 4.1.1. 密码安全性 Expand section "4.1.1. 密码安全性" Collapse section "4.1.1. 密码安全性" 4.1.1.1. 创建强密码 4.1.1.2. 强制密码 4.1.1.3. 配置密码过期 4.1.2. 帐户锁定 4.1.3. 会话锁定 Expand section "4.1.3. 会话锁定" Collapse section "4.1.3. 会话锁定" 4.1.3.1. 使用 vlock 锁定虚拟控制台 4.1.4. 强制只读挂载 Removable Media 4.2. 控制根访问 Expand section "4.2. 控制根访问" Collapse section "4.2. 控制根访问" 4.2.1. 禁止 Root 访问 4.2.2. 允许根访问 4.2.3. 限制根访问 4.2.4. 启用自动注销 4.2.5. 保护 Boot Loader Expand section "4.2.5. 保护 Boot Loader" Collapse section "4.2.5. 保护 Boot Loader" 4.2.5.1. 禁用交互式启动 4.2.6. 保护硬链接和符号链接 4.3. 保护服务 Expand section "4.3. 保护服务" Collapse section "4.3. 保护服务" 4.3.1. 对服务的风险 4.3.2. 识别和配置服务 4.3.3. 不安全的服务 4.3.4. 保护 rpcbind Expand section "4.3.4. 保护 rpcbind" Collapse section "4.3.4. 保护 rpcbind" 4.3.4.1. 使用 TCP wrapper 保护 rpcbind 4.3.4.2. 使用 firewalld 保护 rpcbind 4.3.5. 保护 rpc.mountd Expand section "4.3.5. 保护 rpc.mountd" Collapse section "4.3.5. 保护 rpc.mountd" 4.3.5.1. 使用 TCP Wrappers 保护 rpc.mountd 4.3.5.2. 使用 firewalld 保护 rpc.mountd 4.3.6. 保护 NIS Expand section "4.3.6. 保护 NIS" Collapse section "4.3.6. 保护 NIS" 4.3.6.1. 仔细规划网络 4.3.6.2. 使用类似密码的 NIS 域名和主机名 4.3.6.3. 编辑 /var/yp/securenets 文件 4.3.6.4. 分配静态端口和使用 Rich Language 规则 4.3.6.5. 使用 Kerberos 身份验证 4.3.7. 保护 NFS Expand section "4.3.7. 保护 NFS" Collapse section "4.3.7. 保护 NFS" 4.3.7.1. 仔细规划网络 4.3.7.2. 保护 NFS 挂载选项 Expand section "4.3.7.2. 保护 NFS 挂载选项" Collapse section "4.3.7.2. 保护 NFS 挂载选项" 4.3.7.2.1. 查看 NFS 服务器 4.3.7.2.2. 查看 NFS 客户端 4.3.7.3. 语法错误 4.3.7.4. 不要使用 no_root_squash 选项 4.3.7.5. NFS 防火墙配置 4.3.7.6. 使用红帽身份管理保护 NFS 4.3.8. 保护 HTTP 服务器 Expand section "4.3.8. 保护 HTTP 服务器" Collapse section "4.3.8. 保护 HTTP 服务器" 4.3.8.1. 保护 Apache HTTP 服务器 4.3.8.2. 保护 NGINX 4.3.9. 保护 FTP Expand section "4.3.9. 保护 FTP" Collapse section "4.3.9. 保护 FTP" 4.3.9.1. FTP Greeting Banner 4.3.9.2. Anonymous Access(匿名访问) Expand section "4.3.9.2. Anonymous Access(匿名访问)" Collapse section "4.3.9.2. Anonymous Access(匿名访问)" 4.3.9.2.1. 匿名上传 4.3.9.3. 用户帐户 Expand section "4.3.9.3. 用户帐户" Collapse section "4.3.9.3. 用户帐户" 4.3.9.3.1. 限制用户帐户 4.3.9.4. 使用 TCP wrapper 控制访问 4.3.10. 保护 Postfix Expand section "4.3.10. 保护 Postfix" Collapse section "4.3.10. 保护 Postfix" 4.3.10.1. 限制服务攻击 4.3.10.2. NFS 和 Postfix 4.3.10.3. 仅邮件用户 4.3.10.4. 禁用 Postfix 网络列表 4.3.10.5. 将 Postfix 配置为使用 SASL 4.3.11. 保护 SSH Expand section "4.3.11. 保护 SSH" Collapse section "4.3.11. 保护 SSH" 4.3.11.1. 加密登录 4.3.11.2. 多个身份验证方法 4.3.11.3. 保护 SSH 的其他方法 4.3.12. 保护 PostgreSQL 4.3.13. 保护 Docker 4.3.14. 针对 DDoS Attacks 保护 memcached 4.4. 保护网络访问 Expand section "4.4. 保护网络访问" Collapse section "4.4. 保护网络访问" 4.4.1. 使用 TCP wrapper 和 xinetd 保护服务 Expand section "4.4.1. 使用 TCP wrapper 和 xinetd 保护服务" Collapse section "4.4.1. 使用 TCP wrapper 和 xinetd 保护服务" 4.4.1.1. TCP 包装器和连接标语 4.4.1.2. TCP 封装器和攻击警告 4.4.1.3. TCP wrapper 和 Enhanced Logging 4.4.2. 验证正在列出哪些端口 4.4.3. 禁用源路由 Expand section "4.4.3. 禁用源路由" Collapse section "4.4.3. 禁用源路由" 4.4.3.1. 反向路径转发 4.4.3.2. 其它资源 4.5. 使用 DNSSEC 保护 DNS 流量 Expand section "4.5. 使用 DNSSEC 保护 DNS 流量" Collapse section "4.5. 使用 DNSSEC 保护 DNS 流量" 4.5.1. DNSSEC 简介 4.5.2. 了解 DNSSEC 4.5.3. 了解 Dnssec-trigger 4.5.4. VPN Supplied Domains 和 Name Servers 4.5.5. 推荐的命名实践 4.5.6. 了解信任 Anchors 4.5.7. 安装 DNSSEC Expand section "4.5.7. 安装 DNSSEC" Collapse section "4.5.7. 安装 DNSSEC" 4.5.7.1. 安装 unbound 4.5.7.2. 检查 unbound 是否正在运行 4.5.7.3. 启动 unbound 4.5.7.4. 安装 Dnssec-trigger 4.5.7.5. 检查 Dnssec-trigger 守护进程是否正在运行 4.5.8. 使用 Dnssec-trigger 4.5.9. 使用带有 DNSSEC 的 dig 4.5.10. 为 Dnssec-trigger 设置 Hotspot 检测基础架构 4.5.11. 为连接分割域配置 DNSSEC 验证 Expand section "4.5.11. 为连接分割域配置 DNSSEC 验证" Collapse section "4.5.11. 为连接分割域配置 DNSSEC 验证" 4.5.11.1. 为 Wi-Fi Supplied 域配置 DNSSEC 验证 4.5.12. 其它资源 Expand section "4.5.12. 其它资源" Collapse section "4.5.12. 其它资源" 4.5.12.1. 安装的文档 4.5.12.2. 在线文档 4.6. 使用 Libreswan 保护虚拟专用网络(VPN) Expand section "4.6. 使用 Libreswan 保护虚拟专用网络(VPN)" Collapse section "4.6. 使用 Libreswan 保护虚拟专用网络(VPN)" 4.6.1. 安装 Libreswan 4.6.2. 使用 Libreswan 创建 VPN 配置 4.6.3. 使用 Libreswan 创建主机到主机 VPN Expand section "4.6.3. 使用 Libreswan 创建主机到主机 VPN" Collapse section "4.6.3. 使用 Libreswan 创建主机到主机 VPN" 4.6.3.1. 使用 Libreswan 验证主机到主机 VPN 4.6.4. 使用 Libreswan 配置站点到站点 VPN Expand section "4.6.4. 使用 Libreswan 配置站点到站点 VPN" Collapse section "4.6.4. 使用 Libreswan 配置站点到站点 VPN" 4.6.4.1. 使用 Libreswan 验证站点到站点 VPN 4.6.5. 使用 Libreswan 配置站点到站点的单一 Tunnel VPN 4.6.6. 使用 Libreswan 配置子网扩展 4.6.7. 配置 IKEv2 远程访问 VPN Libreswan 4.6.8. 使用 X.509 配置 IKEv1 远程访问 VPN Libreswan 和 XAUTH 4.6.9. 对 Quantum 计算机使用保护 4.6.10. 其它资源 Expand section "4.6.10. 其它资源" Collapse section "4.6.10. 其它资源" 4.6.10.1. 安装的文档 4.6.10.2. 在线文档 4.7. 使用 OpenSSL Expand section "4.7. 使用 OpenSSL" Collapse section "4.7. 使用 OpenSSL" 4.7.1. 创建和管理加密密钥 4.7.2. 生成证书 Expand section "4.7.2. 生成证书" Collapse section "4.7.2. 生成证书" 4.7.2.1. 创建证书签名请求 4.7.2.2. 创建自签名证书 4.7.2.3. 使用 Makefile 创建证书 4.7.3. 验证证书 4.7.4. 加密和解密文件 4.7.5. 生成消息 Digests 4.7.6. 生成密码散列 4.7.7. 生成随机数据 4.7.8. 基准测试您的系统 4.7.9. 配置 OpenSSL 4.8. 使用 stunnel Expand section "4.8. 使用 stunnel" Collapse section "4.8. 使用 stunnel" 4.8.1. 安装 stunnel 4.8.2. 将 stunnel 配置为 TLS Wrapper 4.8.3. 启动、停止和重启 stunnel 4.9. 加密 Expand section "4.9. 加密" Collapse section "4.9. 加密" 4.9.1. 使用 LUKS 磁盘加密 Expand section "4.9.1. 使用 LUKS 磁盘加密" Collapse section "4.9.1. 使用 LUKS 磁盘加密" 4.9.1.1. Red Hat Enterprise Linux 中的 LUKS 实施 4.9.1.2. 手动加密目录 4.9.1.3. 向现有设备添加新密码 4.9.1.4. 从现有设备中删除密码 4.9.1.5. 在 Anaconda 中创建加密块设备 4.9.1.6. 其它资源 4.9.2. 创建 GPG 密钥 Expand section "4.9.2. 创建 GPG 密钥" Collapse section "4.9.2. 创建 GPG 密钥" 4.9.2.1. 在 GNOME 中创建 GPG 密钥 4.9.2.2. 在 KDE 中创建 GPG 密钥 4.9.2.3. 使用命令行创建 GPG 密钥 4.9.2.4. 关于公钥加密 4.9.3. 对公共密钥加密使用 openCryptoki Expand section "4.9.3. 对公共密钥加密使用 openCryptoki" Collapse section "4.9.3. 对公共密钥加密使用 openCryptoki" 4.9.3.1. 安装 openCryptoki 并启动服务 4.9.3.2. 配置和使用 openCryptoki 4.9.4. 使用智能卡向 OpenSSH Supply 凭证 Expand section "4.9.4. 使用智能卡向 OpenSSH Supply 凭证" Collapse section "4.9.4. 使用智能卡向 OpenSSH Supply 凭证" 4.9.4.1. 从卡检索公钥 4.9.4.2. 在服务器上存储公钥 4.9.4.3. 使用智能卡中的密钥向服务器进行身份验证 4.9.4.4. 使用 ssh-agent 自动执行 PIN Logging In 4.9.4.5. 其它资源 4.9.5. 可信和加密的密钥 Expand section "4.9.5. 可信和加密的密钥" Collapse section "4.9.5. 可信和加密的密钥" 4.9.5.1. 使用密钥 4.9.5.2. 其它资源 4.9.6. 使用随机数字生成器 4.10. 使用基于策略的解密配置加密卷的自动锁定 Expand section "4.10. 使用基于策略的解密配置加密卷的自动锁定" Collapse section "4.10. 使用基于策略的解密配置加密卷的自动锁定" 4.10.1. network-Bound Disk Encryption 4.10.2. 安装加密客户端 - Clevis 4.10.3. 在强制模式中使用 SELinux 部署 Tang 服务器 Expand section "4.10.3. 在强制模式中使用 SELinux 部署 Tang 服务器" Collapse section "4.10.3. 在强制模式中使用 SELinux 部署 Tang 服务器" 4.10.3.1. 部署高可用性系统 4.10.4. 为带有 Tang 的 NBDE 系统部署加密客户端 4.10.5. 使用 TPM 2.0 策略部署加密客户端 4.10.6. 配置根卷的手动注册 4.10.7. 使用 Kickstart 配置自动注册 4.10.8. 配置可移动存储设备的自动锁定 4.10.9. 在引导时配置非 root 卷的自动锁定 4.10.10. 在 NBDE 网络中部署虚拟机 4.10.11. 使用 NBDE 为云环境构建可自动注册的虚拟机镜像 4.10.12. 其它资源 4.11. 使用 AIDE检查完整性 Expand section "4.11. 使用 AIDE检查完整性" Collapse section "4.11. 使用 AIDE检查完整性" 4.11.1. 安装 AIDE 4.11.2. 执行完整性检查 4.11.3. 更新 AIDE 数据库 4.11.4. 其它资源 4.12. 使用 USBGuard Expand section "4.12. 使用 USBGuard" Collapse section "4.12. 使用 USBGuard" 4.12.1. 安装 USBGuard 4.12.2. 创建白名单列表和黑名单列表 4.12.3. 使用规则语言创建您自己的策略 4.12.4. 其它资源 4.13. 强化 TLS 配置 Expand section "4.13. 强化 TLS 配置" Collapse section "4.13. 强化 TLS 配置" 4.13.1. 选择启用算法 4.13.2. 使用 TLS 的实现 Expand section "4.13.2. 使用 TLS 的实现" Collapse section "4.13.2. 使用 TLS 的实现" 4.13.2.1. 在 OpenSSL 中使用 Cipher Suites 4.13.2.2. 在 GnuTLS 中使用 Cipher Suites 4.13.3. 配置特定应用程序 Expand section "4.13.3. 配置特定应用程序" Collapse section "4.13.3. 配置特定应用程序" 4.13.3.1. 配置 Apache HTTP 服务器 4.13.3.2. 配置 Dovecot 邮件服务器 4.13.4. 其它信息 4.14. 使用共享系统证书 Expand section "4.14. 使用共享系统证书" Collapse section "4.14. 使用共享系统证书" 4.14.1. 使用系统范围的信任存储 4.14.2. 添加新证书 4.14.3. 管理受信任的系统证书 4.14.4. 其它资源 4.15. 使用 MACsec 4.16. 使用 清理安全地删除数据 5. 使用防火墙 Expand section "5. 使用防火墙" Collapse section "5. 使用防火墙" 5.1. firewalld入门 Expand section "5.1. firewalld入门" Collapse section "5.1. firewalld入门" 5.1.1. Zones 5.1.2. 预定义的服务 5.1.3. 运行时和永久设置 5.1.4. 使用 CLI 修改运行时和永久配置中的设置 5.2. 安装 firewall-config GUI 配置工具 5.3. 查看 firewalld的当前状态和设置 Expand section "5.3. 查看 firewalld的当前状态和设置" Collapse section "5.3. 查看 firewalld的当前状态和设置" 5.3.1. 查看 firewalld的当前状态 5.3.2. 查看当前的 firewalld 设置 Expand section "5.3.2. 查看当前的 firewalld 设置" Collapse section "5.3.2. 查看当前的 firewalld 设置" 5.3.2.1. 使用 GUI 查看允许的服务 5.3.2.2. 使用 CLI 查看 firewalld 设置 5.4. 启动 firewalld 5.5. 停止 firewalld 5.6. 控制流量 Expand section "5.6. 控制流量" Collapse section "5.6. 控制流量" 5.6.1. 预定义的服务 5.6.2. 使用 CLI 禁用发生时的所有流量 5.6.3. 使用 CLI 使用预定义的服务控制流量 5.6.4. 使用 GUI 使用预定义服务控制流量 5.6.5. 添加新服务 5.6.6. 使用 CLI 控制端口 5.6.7. 使用 GUI 打开端口 5.6.8. 使用 GUI 控制协议的流量 5.6.9. 使用 GUI 打开源端口 5.7. 使用区域 Expand section "5.7. 使用区域" Collapse section "5.7. 使用区域" 5.7.1. 列出区域 5.7.2. 为 Certain Zone 修改 firewalld 设置 5.7.3. 更改默认区域 5.7.4. 将网络接口分配给区 5.7.5. 将默认区域分配给网络连接 5.7.6. 创建新区域 5.7.7. 使用配置文件创建新区域 5.7.8. 使用区目标为 Incoming 流量设置默认行为 5.8. 使用区域管理流量取决于源 Expand section "5.8. 使用区域管理流量取决于源" Collapse section "5.8. 使用区域管理流量取决于源" 5.8.1. 添加源 5.8.2. 删除源 5.8.3. 添加源端口 5.8.4. 删除源端口 5.8.5. 使用 Zones 和 Sources 只允许服务只用于特定域 5.8.6. 配置基于区接受的流量 5.9. 端口转发 Expand section "5.9. 端口转发" Collapse section "5.9. 端口转发" 5.9.1. 向重定向添加端口 5.9.2. 删除重定向的端口 5.10. 配置 IP 地址伪装 5.11. 管理 ICMP 请求 Expand section "5.11. 管理 ICMP 请求" Collapse section "5.11. 管理 ICMP 请求" 5.11.1. 列出 ICMP 请求 5.11.2. 阻止或取消阻止 ICMP 请求 5.11.3. 在没有任何信息的情况下阻止 ICMP 请求 5.11.4. 使用 GUI 配置 ICMP 过滤器 5.12. 使用 firewalld设置和控制 IP 集 Expand section "5.12. 使用 firewalld设置和控制 IP 集" Collapse section "5.12. 使用 firewalld设置和控制 IP 集" 5.12.1. 使用命令行客户端配置 IP 设置选项 5.12.2. 为 IP 集配置自定义服务 5.13. 使用 iptables设置和控制 IP 集 5.14. 使用直接接口 Expand section "5.14. 使用直接接口" Collapse section "5.14. 使用直接接口" 5.14.1. 使用直接接口添加规则 5.14.2. 使用直接接口删除规则 5.14.3. 使用直接接口列出规则 5.15. 使用"Rich Language"语法配置复杂防火墙规则 Expand section "5.15. 使用"Rich Language"语法配置复杂防火墙规则" Collapse section "5.15. 使用"Rich Language"语法配置复杂防火墙规则" 5.15.1. Rich Language 命令的格式 5.15.2. 了解 Rich Rule 结构 5.15.3. 了解 Rich Rule 命令选项 5.15.4. 使用 Rich Rule Log 命令 Expand section "5.15.4. 使用 Rich Rule Log 命令" Collapse section "5.15.4. 使用 Rich Rule Log 命令" 5.15.4.1. 使用 Rich Rule Log 命令示例 1 5.15.4.2. 使用 Rich Rule Log Command Example 2 5.15.4.3. 使用 Rich Rule Log 命令示例 3 5.15.4.4. 使用 Rich Rule Log Command Example 4 5.15.4.5. 使用 Rich Rule Log 命令示例 5 5.15.4.6. 使用 Rich Rule Log Command Example 6 5.16. 配置防火墙锁定 Expand section "5.16. 配置防火墙锁定" Collapse section "5.16. 配置防火墙锁定" 5.16.1. 使用命令行客户端配置锁定 5.16.2. 使用命令行客户端配置锁定白名单选项 5.16.3. 使用配置文件配置锁定白名单选项 5.17. 为 Denied Packets 配置日志记录 5.18. 其它资源 Expand section "5.18. 其它资源" Collapse section "5.18. 其它资源" 5.18.1. 安装的文档 5.18.2. 在线文档 6. nftables 入门 Expand section "6. nftables 入门" Collapse section "6. nftables 入门" 6.1. 编写和执行 nftables 脚本 Expand section "6.1. 编写和执行 nftables 脚本" Collapse section "6.1. 编写和执行 nftables 脚本" 6.1.1. 支持的 nftables 脚本格式 6.1.2. 运行 nftables 脚本 6.1.3. 使用 nftables 脚本中的注释 6.1.4. 使用 nftables 脚本中的变量 6.1.5. 在 nftables 脚本中包含文件 6.1.6. 系统引导时自动载入 nftables 规则 6.2. 创建和管理 nftables 表、链和规则 Expand section "6.2. 创建和管理 nftables 表、链和规则" Collapse section "6.2. 创建和管理 nftables 表、链和规则" 6.2.1. 显示 nftables 规则集 6.2.2. 创建 nftables 表 6.2.3. 创建 nftables 链 6.2.4. 将规则附加到 nftables 链的末尾 6.2.5. 在 nftables 链的开头插入一条规则 6.2.6. 在 nftables 链的特定位置插入一条规则 6.3. 使用 nftables 配置 NAT Expand section "6.3. 使用 nftables 配置 NAT" Collapse section "6.3. 使用 nftables 配置 NAT" 6.3.1. 不同的 NAT 类型: masquerading、source NAT、destination NAT 和 redirect 6.3.2. 使用 nftables 配置伪装 6.3.3. 使用 nftables 配置源 NAT 6.3.4. 使用 nftables 配置目标 NAT 6.3.5. 使用 nftables 配置重定向 6.4. 使用 nftables 命令中的设置 Expand section "6.4. 使用 nftables 命令中的设置" Collapse section "6.4. 使用 nftables 命令中的设置" 6.4.1. 在 nftables 中使用匿名集合 6.4.2. 在 nftables 中使用命名集 6.4.3. 相关信息 6.5. 在 nftables 命令中使用 verdict 映射 Expand section "6.5. 在 nftables 命令中使用 verdict 映射" Collapse section "6.5. 在 nftables 命令中使用 verdict 映射" 6.5.1. 在 nftables 中使用匿名映射 6.5.2. 在 nftables 中使用命名映射 6.5.3. 相关信息 6.6. 使用 nftables 配置端口转发 Expand section "6.6. 使用 nftables 配置端口转发" Collapse section "6.6. 使用 nftables 配置端口转发" 6.6.1. 将传入的数据包转发到不同的本地端口 6.6.2. 将特定本地端口上传入的数据包转发到不同主机 6.7. 使用 nftables 来限制连接数量 Expand section "6.7. 使用 nftables 来限制连接数量" Collapse section "6.7. 使用 nftables 来限制连接数量" 6.7.1. 使用 nftables 限制连接数量 6.7.2. 在一分钟内尝试超过十个进入的 TCP 连接的 IP 地址 6.7.3. 其他资源 6.8. 调试 nftables 规则 Expand section "6.8. 调试 nftables 规则" Collapse section "6.8. 调试 nftables 规则" 6.8.1. 创建带有计数器的规则 6.8.2. 在现有规则中添加计数器 6.8.3. 监控与现有规则匹配的数据包 7. 系统审计 Expand section "7. 系统审计" Collapse section "7. 系统审计" 7.1. 审计系统架构 7.2. 安装 audit 软件包 7.3. 配置 审计 服务 Expand section "7.3. 配置 审计 服务" Collapse section "7.3. 配置 审计 服务" 7.3.1. 为安全环境配置 auditd 7.4. 启动 审计 服务 7.5. 定义审计规则 Expand section "7.5. 定义审计规则" Collapse section "7.5. 定义审计规则" 7.5.1. 使用 auditctl定义审计规则 7.5.2. 定义可执行文件规则 7.5.3. 在 /etc/audit/audit.rules 文件中定义持久性审计规则和控制 7.6. 了解审计日志文件 7.7. 搜索审计日志文件 7.8. 创建审计报告 7.9. 其它资源 8. 扫描系统以了解配置合规和漏洞 Expand section "8. 扫描系统以了解配置合规和漏洞" Collapse section "8. 扫描系统以了解配置合规和漏洞" 8.1. RHEL 中的配置合规工具 8.2. 漏洞扫描 Expand section "8.2. 漏洞扫描" Collapse section "8.2. 漏洞扫描" 8.2.1. 红帽安全公告 OVAL Feed 8.2.2. 扫描系统是否存在漏洞 8.2.3. 扫描远程系统中的漏洞 8.3. 配置合规性扫描 Expand section "8.3. 配置合规性扫描" Collapse section "8.3. 配置合规性扫描" 8.3.1. RHEL 7 中的配置合规性 8.3.2. OpenSCAP 扫描的可能结果 8.3.3. 查看配置合规性的配置集 8.3.4. 使用特定 Baseline 评估配置合规 8.4. 使用特定基本线将系统修复到 Align 8.5. 使用 SSG Ansible Playbook 修复系统以使用特定基础行 Align 8.6. 创建修复 Ansible Playbook 以选择具有特定基础的系统 8.7. 使用 SCAP Workbench 使用自定义配置文件扫描系统 Expand section "8.7. 使用 SCAP Workbench 使用自定义配置文件扫描系统" Collapse section "8.7. 使用 SCAP Workbench 使用自定义配置文件扫描系统" 8.7.1. 使用 SCAP Workbench 扫描和补救系统 8.7.2. 使用 SCAP Workbench 自定义安全配置文件 8.7.3. 相关信息 8.8. 在安装后使用安全配置文件 Immediately 部署 Are Compliant 的系统 Expand section "8.8. 在安装后使用安全配置文件 Immediately 部署 Are Compliant 的系统" Collapse section "8.8. 在安装后使用安全配置文件 Immediately 部署 Are Compliant 的系统" 8.8.1. 使用图形安装部署 Baseline-Compliant RHEL 系统 8.8.2. 使用 Kickstart 部署 Baseline-Compliant RHEL 系统 8.9. 扫描容器和容器镜像中的漏洞 Expand section "8.9. 扫描容器和容器镜像中的漏洞" Collapse section "8.9. 扫描容器和容器镜像中的漏洞" 8.9.1. 使用 oscap-docker扫描容器镜像和容器中的漏洞 8.9.2. 使用 原子扫描扫描容器镜像和容器中的漏洞 8.10. 评估容器或带有特定基本行的容器镜像的配置合规性 8.11. 使用 原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性 Expand section "8.11. 使用 原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性" Collapse section "8.11. 使用 原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性" 8.11.1. 使用 原子扫描扫描来扫描容器镜像和容器的配置合规性 8.11.2. 使用 原子扫描修复容器镜像和容器的配置合规性 8.12. RHEL 7 支持的 SCAP 安全指南配置文件 8.13. 相关信息 9. 联邦标准和 Regulations Expand section "9. 联邦标准和 Regulations" Collapse section "9. 联邦标准和 Regulations" 9.1. 联邦信息处理标准(FIPS) Expand section "9.1. 联邦信息处理标准(FIPS)" Collapse section "9.1. 联邦信息处理标准(FIPS)" 9.1.1. 启用 FIPS 模式 9.2. 国家工业安全计划操作手册(NISPOM) 9.3. 支付卡行业数据安全标准(PCI DSS) 9.4. 安全技术实施指南 A. 加密标准 Expand section "A. 加密标准" Collapse section "A. 加密标准" A.1. 同步加密 Expand section "A.1. 同步加密" Collapse section "A.1. 同步加密" A.1.1. 高级加密标准 - AES Expand section "A.1.1. 高级加密标准 - AES" Collapse section "A.1.1. 高级加密标准 - AES" A.1.1.1. AES History A.1.2. 数据加密标准 - DES Expand section "A.1.2. 数据加密标准 - DES" Collapse section "A.1.2. 数据加密标准 - DES" A.1.2.1. DES History A.2. 公钥加密 Expand section "A.2. 公钥加密" Collapse section "A.2. 公钥加密" A.2.1. Diffie-Hellman Expand section "A.2.1. Diffie-Hellman" Collapse section "A.2.1. Diffie-Hellman" A.2.1.1. Diffie-Hellman History A.2.2. RSA A.2.3. DSA A.2.4. SSL/TLS A.2.5. Cramer-Shoup Cryptosystem A.2.6. ElGamal Encryption B. 修订历史记录 法律通告 Settings Close Language: 한국어 简体中文 English 日本語 Language: 한국어 简体中文 English 日本語 Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 한국어 简体中文 English 日本語 Language: 한국어 简体中文 English 日本語 Format: Multi-page Single-page Format: Multi-page Single-page Red Hat Training A Red Hat training course is available for Red Hat Enterprise Linux 2.6. 其它资源 有关常规安装的详情,请查看 Red Hat Enterprise Linux 7 安装指南。 Previous Next