4.6 认证小结

本章主要介绍RHCSA级安全的基本内容。在任何Linux系统中，安全是从文件的所有权和权限开始的。所有权可以分为用户、组和其他用户三类。根据自主访问控制模式，权限可以分为读、写和执行三个不同的权限。对于某一个用户，文件的默认权限是由其umask的值决定。权限可由SUID、SGID和粘滞位进行扩展。

ACL给自主访问控制增加另一层安全。在一个已挂载的卷配置好后，ACL经过配置后可以取代基本的ugo/rwx权限。NSFv4共享目录也可以包含ACL。

防火墙可以阻止通信通过，但是特定端口除外。大多数服务的标准端口都在/etc/services文件中被定义。然而，有些服务也可能不用这个文件中的任何一个协议。默认的RHEL 7防火墙只支持对本地SSH服务器的访问。

ssh-keygen命令创建了用口令短语保护的密钥对。使用这些密钥对，不需要将用户的口令在网络上传输，就可以在SSH服务器上进行验证。

SELinux用强制访问控制提供了另一层的保护。由于存在各种不同的SELinux用户、对象、文件类型以及MLS安全级，SELinux控制确保某一个服务存在的漏洞不会影响其他服务。