Linux极客需要掌握的技巧合集(8)

　　55：自动加密连接

　　难度：高级

　　应用程序：FreeS/WAN

　　一个FreeS/WAN支持的特别cool的功能是，当其他主机运行FreeS/WAN时随机加密。这允许FreeS/WAN在所有支持随机加密的主机间透明传输。为了这个，每台主机必须使用FreeS/WAN生成一个公钥，这个公钥可以存储于那台主机的一个DNS TXT记录中。当一台主机要与另一个主机建立一个随机加密，希望初始化一个加密连接时，将会通过DNS查询这台主机的公钥并且初始化这个连接。

　　一开始，你想使用这个功能时，需要为每一台主机生成一个公钥。你可以通过运行如下命令来实现它：

　　ipsec newhostkey --output /tmp/`hostname`.key

　　现在你需要添加通过那条命令创建的文件的内容到/etc/ipsec.secrets中。

　　cat /tmp/`hostname`.key 》》 /etc/ipsec.secrets

　　然后，你需要生成一个TXT记录来存放你的DNS区域。你可以通过运行如下命令来实现它：

　　ipsec showhostkey --txt @colossus.nnc

　　现在添加这条记录到你的空间然后重载它。你会证实DNS已经通过这条命令正确的运行了：

　　ipsec verify

　　Checking your system to see if IPsec got installed and started correctlyVersion check and ipsec on-path［OK］Checking for KLIPS support in kernel ［OK］Checking for RSA private key （/etc/ipsec.secrets） ［OK］Checking that pluto is running ［OK］DNS checks. Looking for TXT in forward map： colossus ［OK］Does the machine have at least one non-private address ［OK］

　　现在只需要重启FreeS/WAN-你现在应该能连接到任何支持随机加密的主机上了。但是如果其他的主机想要连接你该怎么办？要授权连接，你需要在你的DNS反向查找区域为你的机器创建一个TXT记录。

　　你可以通过运行一个简单的命令来生成一条记录：

　　ipsec showhostkey --txt 192.168.0.64

　　为你的子网添加这条记录到反向查找区域，然后其他的机器就可以和你的机器初始化随机加密了。伴随着随机加密的使用，所有主机间的传输将被自动加密，同时保护所有的服务。

　　56：消除二进制suid

　　难度：中等

　　应用程序：find

　　如果你的服务器有比你自身多的shell用户，你应该在你的系统上定期的审核setuid和setgid的二进制文件。可能你会惊讶你找到了那么多文件。这里有一个搜寻所有setuid或者setgid的文件的命令位设置：

　　find / -perm +6000 -type f -exec ls -ld {} \; 》 setuid.txt &

　　这将会创建一个名为setuid.txt的文件，包含了所有当前系统上匹配的文件的细节。要移除任何你不用的工具的s位，输入：

　　chmod a-s program

　　57：Mac过滤Host AP

　　难度：高级

　　应用程序：iwpriv

　　你可以在链路层使用iptables或者ebtables执行MAC过滤，那比让Host AP为你做这些更安全。这不仅仅是阻碍指向你的网络传输，也是预防邪恶的人关联你的站。这能帮助组织某些人给你的其他无线客户端造成麻烦的可能，即使他们没有更多的网络通道。

　　当使用MAC过滤时，很多人会列出一个他们希望允许的无线装置清单，然后拒绝所有其他的。使用iwpriv命令完成这个功能：

　　iwpriv wlan0 addmac 00:30:65:23:17:05iwpriv wlan0 addmac 00:40:96:aa:99:fd.。.iwpriv wlan0 maccmd 1iwpriv wlan0 maccmd 4

　　addmac指示添加一个MAC地址到内部表。只要你喜欢你就可以通过执行更多的addmac命令添加更多的MAC地址到表中。然后你需要告诉Host AP对你已经建好的表做什么。maccmd 1命令告诉Host AP就像使用一个“允许”清单一样使用这个表，并且拒绝所有其他的MAC地址来关联。最终，maccmd 4命令去除掉所有的关联客户端，强制使它们重新关联。对表中的客户端来说是自动发生的，但是其他的任何企图关联的客户端都是被拒绝的。

　　有时，你只需要禁止一个或者两个捣蛋鬼，而不是设置一个详细的被允许的硬件规则。如果你需要禁止两三个MAC地址而允许其他所有的地址，尝试这个：

　　iwpriv wlan0 addmac 00:30:65:fa:ca:deiwpriv wlan0 maccmd 2iwpriv wlan0 kickmac 00:30:65:fa:ca:de

　　像以前一样，你可以不限次数的使用addmac，只要你乐意。Maccmd2命令会将规则设置为“拒绝”，而如果该MAC恰巧已经关联，kickmac会立刻将特定的MACboot。这也许比只为了禁止一个捣蛋鬼而消除所有关联然后让他们重新邻接要好一些。顺便说一下，如果你想要消除所有的MAC过滤，尝试maccmd 0。

　　如果你错误的输入了一个MAC地址，你可以像使用addmac一样使用delmac命令，然后它（可以预见）就会从表中删掉这个给出的MAC地址。你有时会需要完全清除当前的MAC表但是保留它当前的规则，使用这条命令：

　　iwpriv wlan0 maccmd 3

　　最后，你可以通过使用/proc浏览正在运行的MAC表：

　　cat /proc/net/hostap/wlan0/ap_control

　　iwpriv程序操纵正在运行的Host AP驱动，但是重启后不保留设置。一旦你对你的MAC过滤表感到满意，请确保你在一个rc脚本中添加了相关命令在启动时间运行。

　　注意，未关联的客户端仍然可以监听网络传输，所以MAC过滤实际上只能预防一点点窃取。为了与被动的监听技巧搏斗，你需要加密你的数据。

　　上面就是Linux极客需要掌握的系统知识的介绍了，要想成为极客，成为电脑高手，除了需要比别人努力外，还需了解上面介绍的这个技巧，对你成为极客是很有帮助的。