Linux極客需要掌握的技巧合集(8)

　　55：自動(dòng)加密連接

　　難度：高級(jí)

　　應(yīng)用程序：FreeS/WAN

　　一個(gè)FreeS/WAN支持的特別cool的功能是，當(dāng)其他主機(jī)運(yùn)行FreeS/WAN時(shí)隨機(jī)加密。這允許FreeS/WAN在所有支持隨機(jī)加密的主機(jī)間透明傳輸。為了這個(gè)，每臺(tái)主機(jī)必須使用FreeS/WAN生成一個(gè)公鑰，這個(gè)公鑰可以存儲(chǔ)于那臺(tái)主機(jī)的一個(gè)DNS TXT記錄中。當(dāng)一臺(tái)主機(jī)要與另一個(gè)主機(jī)建立一個(gè)隨機(jī)加密，希望初始化一個(gè)加密連接時(shí)，將會(huì)通過DNS查詢這臺(tái)主機(jī)的公鑰并且初始化這個(gè)連接。

　　一開始，你想使用這個(gè)功能時(shí)，需要為每一臺(tái)主機(jī)生成一個(gè)公鑰。你可以通過運(yùn)行如下命令來實(shí)現(xiàn)它：

　　ipsec newhostkey --output /tmp/`hostname`.key

　　現(xiàn)在你需要添加通過那條命令創(chuàng)建的文件的內(nèi)容到/etc/ipsec.secrets中。

　　cat /tmp/`hostname`.key 》》 /etc/ipsec.secrets

　　然后，你需要生成一個(gè)TXT記錄來存放你的DNS區(qū)域。你可以通過運(yùn)行如下命令來實(shí)現(xiàn)它：

　　ipsec showhostkey --txt @colossus.nnc

　　現(xiàn)在添加這條記錄到你的空間然后重載它。你會(huì)證實(shí)DNS已經(jīng)通過這條命令正確的運(yùn)行了：

　　ipsec verify

　　Checking your system to see if IPsec got installed and started correctlyVersion check and ipsec on-path［OK］Checking for KLIPS support in kernel ［OK］Checking for RSA private key （/etc/ipsec.secrets） ［OK］Checking that pluto is running ［OK］DNS checks. Looking for TXT in forward map： colossus ［OK］Does the machine have at least one non-private address ［OK］

　　現(xiàn)在只需要重啟FreeS/WAN-你現(xiàn)在應(yīng)該能連接到任何支持隨機(jī)加密的主機(jī)上了。但是如果其他的主機(jī)想要連接你該怎么辦？要授權(quán)連接，你需要在你的DNS反向查找區(qū)域?yàn)槟愕臋C(jī)器創(chuàng)建一個(gè)TXT記錄。

　　你可以通過運(yùn)行一個(gè)簡單的命令來生成一條記錄：

　　ipsec showhostkey --txt 192.168.0.64

　　為你的子網(wǎng)添加這條記錄到反向查找區(qū)域，然后其他的機(jī)器就可以和你的機(jī)器初始化隨機(jī)加密了。伴隨著隨機(jī)加密的使用，所有主機(jī)間的傳輸將被自動(dòng)加密，同時(shí)保護(hù)所有的服務(wù)。

　　56：消除二進(jìn)制suid

　　難度：中等

　　應(yīng)用程序：find

　　如果你的服務(wù)器有比你自身多的shell用戶，你應(yīng)該在你的系統(tǒng)上定期的審核setuid和setgid的二進(jìn)制文件�？赡苣銜�(huì)驚訝你找到了那么多文件。這里有一個(gè)搜尋所有setuid或者setgid的文件的命令位設(shè)置：

　　find / -perm +6000 -type f -exec ls -ld {} \; 》 setuid.txt &

　　這將會(huì)創(chuàng)建一個(gè)名為setuid.txt的文件，包含了所有當(dāng)前系統(tǒng)上匹配的文件的細(xì)節(jié)。要移除任何你不用的工具的s位，輸入：

　　chmod a-s program

　　57：Mac過濾Host AP

　　難度：高級(jí)

　　應(yīng)用程序：iwpriv

　　你可以在鏈路層使用iptables或者ebtables執(zhí)行MAC過濾，那比讓Host AP為你做這些更安全。這不僅僅是阻礙指向你的網(wǎng)絡(luò)傳輸，也是預(yù)防邪惡的人關(guān)聯(lián)你的站。這能幫助組織某些人給你的其他無線客戶端造成麻煩的可能，即使他們沒有更多的網(wǎng)絡(luò)通道。

　　當(dāng)使用MAC過濾時(shí)，很多人會(huì)列出一個(gè)他們希望允許的無線裝置清單，然后拒絕所有其他的。使用iwpriv命令完成這個(gè)功能：

　　iwpriv wlan0 addmac 00:30:65:23:17:05iwpriv wlan0 addmac 00:40:96:aa:99:fd.。.iwpriv wlan0 maccmd 1iwpriv wlan0 maccmd 4

　　addmac指示添加一個(gè)MAC地址到內(nèi)部表。只要你喜歡你就可以通過執(zhí)行更多的addmac命令添加更多的MAC地址到表中。然后你需要告訴Host AP對(duì)你已經(jīng)建好的表做什么。maccmd 1命令告訴Host AP就像使用一個(gè)“允許”清單一樣使用這個(gè)表，并且拒絕所有其他的MAC地址來關(guān)聯(lián)。最終，maccmd 4命令去除掉所有的關(guān)聯(lián)客戶端，強(qiáng)制使它們重新關(guān)聯(lián)。對(duì)表中的客戶端來說是自動(dòng)發(fā)生的，但是其他的任何企圖關(guān)聯(lián)的客戶端都是被拒絕的。

　　有時(shí)，你只需要禁止一個(gè)或者兩個(gè)搗蛋鬼，而不是設(shè)置一個(gè)詳細(xì)的被允許的硬件規(guī)則。如果你需要禁止兩三個(gè)MAC地址而允許其他所有的地址，嘗試這個(gè)：

　　iwpriv wlan0 addmac 00:30:65:fa:ca:deiwpriv wlan0 maccmd 2iwpriv wlan0 kickmac 00:30:65:fa:ca:de

　　像以前一樣，你可以不限次數(shù)的使用addmac，只要你樂意。Maccmd2命令會(huì)將規(guī)則設(shè)置為“拒絕”，而如果該MAC恰巧已經(jīng)關(guān)聯(lián)，kickmac會(huì)立刻將特定的MACboot。這也許比只為了禁止一個(gè)搗蛋鬼而消除所有關(guān)聯(lián)然后讓他們重新鄰接要好一些。順便說一下，如果你想要消除所有的MAC過濾，嘗試maccmd 0。

　　如果你錯(cuò)誤的輸入了一個(gè)MAC地址，你可以像使用addmac一樣使用delmac命令，然后它（可以預(yù)見）就會(huì)從表中刪掉這個(gè)給出的MAC地址。你有時(shí)會(huì)需要完全清除當(dāng)前的MAC表但是保留它當(dāng)前的規(guī)則，使用這條命令：

　　iwpriv wlan0 maccmd 3

　　最后，你可以通過使用/proc瀏覽正在運(yùn)行的MAC表：

　　cat /proc/net/hostap/wlan0/ap_control

　　iwpriv程序操縱正在運(yùn)行的Host AP驅(qū)動(dòng)，但是重啟后不保留設(shè)置。一旦你對(duì)你的MAC過濾表感到滿意，請(qǐng)確保你在一個(gè)rc腳本中添加了相關(guān)命令在啟動(dòng)時(shí)間運(yùn)行。

　　注意，未關(guān)聯(lián)的客戶端仍然可以監(jiān)聽網(wǎng)絡(luò)傳輸，所以MAC過濾實(shí)際上只能預(yù)防一點(diǎn)點(diǎn)竊取。為了與被動(dòng)的監(jiān)聽技巧搏斗，你需要加密你的數(shù)據(jù)。

　　上面就是Linux極客需要掌握的系統(tǒng)知識(shí)的介紹了，要想成為極客，成為電腦高手，除了需要比別人努力外，還需了解上面介紹的這個(gè)技巧，對(duì)你成為極客是很有幫助的。