4.7 应试要点

下面是本章与认证目标有关的几个重要知识点。

基本的文件权限

● 标准的Linux文件权限是读、写入和执行，这些权限对于用户所有者、组所有者和其他用户则有所不同。

● 特殊权限包括SUID、SGID和粘滞位。

● 默认的用户权限是由umask的值决定的。

● 所有者和权限可以用chown、chgrp和chmod命令修改。

● 用lsattr命令可以显示特殊文件属性，而用chattr可以修改这些属性。

访问控制列表及其他

● 在用acl选项挂载的文件系统中，可以显示和修改文件的ACL。在RHEL 7上创建的XFS和ext4文件系统默认启用此选项。

● 每个文件都有ACL，它们由标准的所有权和权限来决定。

● 可以在文件上配置ACL以取代指定用户和组在选定文件上的所有权和权限。实际的ACL可能由屏蔽位决定。

● 仅一个文件的自定义ACL是不够的，选定的用户和组也需要访问包含这些文件的目录。

● 正如自定义ACL支持特定用户的特殊访问，它也可以拒绝对其他用户的访问。

● 在共享的NFS目录上可以配置ACL。

基本的防火墙控制

● 标准的Linux防火墙基于Netfilter内核系统和iptables工具。

● 标准的Linux防火墙假定使用/etc/serivces文件中列出的一些端口和协议。

● 默认的RHEL 7防火墙支持远程系统对本地SSH服务器的访问。

● RHEL 7防火墙可以用GUI firewall-config工具来配置，也可以通过基于控制台的firewall-cmd命令进行配置。

使用基于密钥的验证保护SSH

● SSH配置命令包括ssh-keygen和ssh-copy-id。

● 用户主目录中包含自己的．ssh子目录，其中包含配置文件，且有使用口令短语保护的私有和公共的SSH密钥。

● 使用ssh-keygen命令，可用口令短语配置私钥/公钥对。

● 使用ssh-copy-id命令，可将公钥传输到用户在远程系统上的主目录。

安全增强型Linux入门

● 可以把SELinux配置为强制模式、许可模式和禁用模式，每个模式通过setenforce命令设置目标策略和MLS策略。默认的引导设置存储在/etc/selinux/config文件中。

● 用semanage login命令可以设置SELinux的user选项。

● SELinux标签保护不同的上下文，例如用户、角色、类型和MLS安全级。

● SELinux中的布尔型参数可以用setsebool命令来管理，永久性修改需要用-P选项。

● 用chcon命令可以修改SELinux上下文，用restorecon命令可以恢复默认值。

● sealert命令和SELinux故障排除浏览器可以用来解释记录在audit.log文件中的故障。此文件保存在/var/log/audit目录中。