Šifriranje datoteka i mapa u Linuxu. Gpg4usb. Šifriramo tekstove i datoteke

Postavljanje korak po korak jabber i enkripcija

Jabber (ili XMPP) je besplatan i otvoren protokol za komunikaciju trenutnim slanjem i primanjem tekstualnih poruka na mreži. Više o protokolu možete pročitati.

Upute za sastavljanje jedinstvene su po tome što:

1. Verzija će biti potpuno prenosiva kamo god je premjestili. Trčite s bilo kojeg medija.

2. GPG modul preuzima nove ključeve u hodu i ne zahtijeva preliminarno pokretanje.

3. U registru nema unosa i nema potrebe tamo ništa pisati, uređivati ​​ili petljati s "varijablama okruženja".

4. Normalan dizajn sa svim poveznicama na službene programere.

5. GPG ključevi se izmjenjuju klikom na gumb u chatu.

Psi+ (klijent za Jabber)

11. Ponovno idite na "Postavke računa" - "Detalji" - "Odaberite ključ..." - odaberite ključ koji ste stvorili.

Možemo se spojiti na mrežu. Odaberite status "Dostupan", unesite lozinku računa i GPG tajni ključ.

Kako biste provjerili elektronički potpis kontakta, pomaknite miš na njega i pogledajte informacijski prozor s podacima na žutoj pozadini. Linija označena zelenom bojom znači da je kontakt ušao u mrežu s ispravnim ključem i da imate njegov javni ključ.

Za dopisivanje: otvorite novi prozor za chat i kliknite gumb za zaključavanje u gornjem desnom kutu. Ključevi će biti provjereni i, ako je sve u redu, vidjet ćete poruku da je razgovor šifriran.

Što dodati na sitnice:

- "Postavke" - "Dodaci" - "Dodatak za promjenu klijenta" - onemogućite vremenski zahtjev (skrivanje vaše vremenske zone), prikazivanje klijenta po vašem nahođenju. Dešava se da da bi dodatak radio, trebate promijeniti skin (također u dodacima).

- "Postavke" - "Napredno" - "opcije" - "pgp" - "auto-start" - "true" - tako da prilikom započinjanja razgovora ne morate pritisnuti gumb s bravom.

- "Postavke" - "Dodaci" - "Dodatak za slike" - aktiviraj - omogućuje umetanje fotografije izravno u chat, prikazuje sliku, a ne poveznicu

- "Postavke" - "Dodaci" - "GnuPG Key Manager" - aktiviraj - omogućuje razmjenu GPG ključeva koristeći samo jedan gumb u prozoru za chat.

Softver

GnuPG se koristi za izradu digitalnih potpisa i šifriranje podataka. Na primjer, pitanje identifikacije slova uvijek je bilo relevantno. Koristeći GnuPG, pismu možete "priložiti" elektronički potpis.

Predgovor

U u posljednje vrijeme Problem očuvanja povjerljivosti informacija vrlo je akutan. Pogotovo u globalna mreža Internet, gdje je rizik od presretanja tajnih podataka vrlo visok. Ovaj će članak opisati kako funkcionira paket GnuPG (GNU Privacy Guard, GPG), zajedno s nekoliko primjera primjene.

GnuPG se koristi za izradu digitalnih potpisa i šifriranje podataka. Na primjer, pitanje identifikacije slova uvijek je bilo relevantno. Koristeći GnuPG, pismu možete "priložiti" elektronički potpis. I tako će primatelj utvrditi autentičnost pošiljatelja i vlasništvo nad ovim pismom. Proces GnuPG-a je vrlo jednostavan: iza najsloženijih algoritama enkripcije krije se jednostavna logika: koristi se par ključeva od kojih je jedan privatni (zadržavate ga za sebe), a drugi je javan (slobodno surfa internet). Druga datoteka sadrži javni ključ i potpise vaših ispitanika. Ispada da nakon dostave potpisanog pisma primatelj uspoređuje javne ključeve i tako identificira pošiljatelja.

Značajke GnuPG-a

Osnovno tehničke karakteristike GnuPG su:

  • puna alternativa PGP-u;
  • ne koristi vlasničke algoritme;
  • distribuira se pod GPL licencom;
  • puna implementacija OpenPGP (RFC4880);
  • dešifriranje i provjera autentičnosti poruka kreiranih pomoću PGP 5, 6 i 7;
  • podrška za elektronički potpis pomoću algoritama ElGamal, DSA, RSA i hash funkcija MD5, SHA-1, RIPE-MD-160 i TIGER;
  • rad s asimetričnom enkripcijom ElGamal i RSA (duljina ključa od 1024 do 4096 bita);
  • podrška za blok algoritam simetrična enkripcija AES, 3DES, Blowfish, Twofish, CAST5 i IDEA pomoću modula;
  • jednostavna implementacija novih algoritama pomoću dodatnih modula;
  • višejezična podrška (uključujući ruski);
  • online sustav pomoći;
  • podrška za istekle ključeve i potpise;
  • ugrađena podrška za HKP ključne poslužitelje.

Kao što je navedeno, GnuPG je dizajniran prema standardu OpenPGP, što znači da će potpisi i šifrirani podaci koje su stvorili drugi programi kompatibilni s OpenPGP-om raditi s GnuPG-om. Korištenje različitih kriptografskih algoritama, kao što su simetrične šifre, enkripcija s javnim ključem i mješoviti algoritmi, omogućuje vam pouzdanu zaštitu tajnih podataka i njihov prijenos. Duljina ključa od 1024 ili 2048 bita dovoljna je da ne brinete o razbijanju šifriranih informacija.

GnuPG je isključivo konzolni program, ali za njega već postoji nekoliko grafičkih ljuski: Seahorse i , koje pojednostavljuju rad s programom kroz intuitivno grafičko sučelje.

Rad s GnuPG-om

Prva interakcija s GnuPG paketom počinje generiranjem ključeva:

$gpg --gen-ključ

Program će postaviti nekoliko pitanja o duljini ključa, imenu i adresi e-pošte. Zatim ćete morati unijeti lozinku za zaštitu ključa. Ovo će stvoriti par ključeva, od kojih će jedan biti glavni. Trebalo bi ga koristiti za šifriranje najvažnijih podataka. Budući da uvijek postoji mogućnost hakiranja, glavni ključ je najbolje koristiti za potpisivanje u ekstremnim slučajevima. Također možete izraditi još nekoliko podključeva, kojima se mogu dodijeliti drugi algoritmi šifriranja prema nahođenju korisnika, ako nisu potrebni višu razinu tajnost podataka. Takvi potključevi ovisit će o glavnom i mogu se koristiti za šifriranje dokumenata ili korespondencije. Drugim riječima, svaki način komunikacije ima svoj ključ. Svaki od njih ima rok upotrebe (isti kao kreditne kartice). Dobra je praksa postaviti datum isteka za veze na 1-2 godine. GnuPG vodi vlastitu bazu, koji se nalazi u datoteci ~/.gnupg/pubring.gpg. Tu se unose otvoreni (javni) ključevi vaših ispitanika.

Pomoću naredbe:

$ gpg --list-ključeva

možete vidjeti sve ključeve u bazi podataka. Prikazat će se popis ključeva koji prikazuje njihov status (pub - javni, pod - sekundarni), duljinu i metodu šifriranja, datum kreiranja i, što je najvažnije, jedinstveni identifikator (ID), koji je 8-znamenkasti heksadecimalni broj.

Možete (i trebate) stvoriti certifikat opoziva za primarni ključ:

$gpg --gen-revoke $KEY

gdje je $KEY ID glavnog ključa.

Za uništavanje ključa potreban je certifikat opoziva. To može biti potrebno, na primjer, ako je ključ ukraden ili izgubljen. Čak i ako je ključna fraza vrlo pouzdana, vrijedno je unaprijed, čak iu fazi stvaranja ključa, razmisliti o mogućnosti njenog uništenja u budućnosti. Nakon što se certifikat izradi, njegov će se sadržaj ispisati u stdout. Mora se spremiti na sigurno mjesto (po mogućnosti na drugom mediju ili čak u tiskanom obliku), jer Svatko tko posjeduje ovaj certifikat može poništiti ključ i ukloniti ga iz baze podataka poslužitelja javnih ključeva (tada nitko ne može dobiti vaš ključ). Takve baze podataka pohranjuju javne ključeve potpuno slobodno. Ovo je učinjeno radi pogodnosti razmjene ključeva: ne morate neprestano osobno prenositi svoj javni ključ. Možete koristiti nekoliko načina: postavite ga na svoju početnu stranicu, na portal koji ima polje za javni ključ ili koristite centraliziraniju bazu podataka - banku ključeva, iz koje će uvijek biti zgodno preuzeti svoj ključ.

Da biste koristili certifikat, jednostavno ga trebate uvesti u bazu podataka, kao i svaki javni ključ:

$ gpg --import revoke-certificate.asc

a zatim poslati na poslužitelj:

$ gpg --send-keys $KEY

gdje je $KEY ID ključa koji će biti poslan.

Slično, javni ključevi mogu se slati i pohranjivati ​​na poslužiteljima baze podataka. Da biste to učinili, prije svega, potrebno ih je izvesti u opće lokalna baza podataka naredba:

$gpg --uvezi $FILE

gdje je $FILE datoteka ključeva ili privjesak ključeva ("paket", nekoliko ključeva u jednoj datoteci).

Nakon toga upotrijebite naredbu --sign-key $KEY (gdje je $KEY ID ključa ispitanika) za potpisivanje željenog ključa. Prilikom potpisivanja dodaje se vaš javni ključ kako bi drugi mogli identificirati vaše poruke/pisma. Zatim trebate poslati ključ koji ste potpisali njegovom vlasniku:

$ gpg --export $KEY > userkey.gpg

Ova naredba posebno izdvaja potpisani ključ radi lakšeg objavljivanja.

Možete učiniti isto u obliku ASCII teksta, koji je lako objaviti na webu:

$ gpg -a --export $KEY > userkey.asc

gdje je $KEY ID ključa vlasnika.

Sada vlasnik mora uvesti ovaj ključ sebi kako bi vaš potpis bio u njegovoj bazi podataka. Takav ključ se izvozi na isti način kao i svaki drugi javni ključ. Zatim ga vlasnik šalje poslužitelju baze podataka ključeva ili postavlja na svoje web mjesto. Sada njegov ključ sadrži vaš potpis. A identificiranje poruka će osigurati da dolaze od vas.

Ponekad ćete možda morati pohraniti svoje ključeve (javne ili privatne) na neki medij za pohranu (na primjer, USB flash). Da biste to učinili, morate izvesti ključ, što se može učiniti u binarnom obliku:

$ gpg --export $KEY > mykey.gpg

Dakle u tekstu (ASCII oklop):

$ gpg -a --export $KEY > mykey.asc

U oba slučaja, $KEY je vaš ID ključa. Također možete koristiti --armor umjesto -a.

Kao rezultat toga, dostupne su sljedeće naredbe za rad s dokumentima:

  • potpisati dokument (jamči da je dokument "od vas"), vaš elektronički potpis;
  • šifrirati dokument (cijeli dokument je šifriran odabranim algoritmom);
  • potpisati i šifrirati dokument (kombinira ove radnje).

Bez obzira na vrstu datoteke (kao što je gore prikazano s ključem), možete dobiti potpis ili šifriranu poruku u binarnom i tekstualni oblik. Na primjer, postoji datoteka knjižnice - ona je binarna. Šifriramo ga i potpisujemo, a izlaz je tekstualna datoteka. Nakon dešifriranja, datoteka se vraća u izvorno stanje. Ovo se može koristiti za skladištenje razne datoteke u tablicama relacijske baze podataka podaci: u ovom slučaju, unatoč razne vrste datoteke, nakon šifriranja svi će predstavljati skup znakova u obliku ASCII nizova.

Možete stvoriti takozvane “transparentne” potpise (koji će sadržavati nešifrirani sadržaj dokumenta + vaš digitalni potpis):

$gpg --clearsign $DOC

gdje je $DOC put do dokumenta. Tako će se kreirati datoteka $DOC.asc u kojoj se otvara sadržaj samog dokumenta i dodaje njegov digitalni potpis.

A potpisi koji se nalaze u zasebnim datotekama u binarnom obliku (stvorit će se datoteka potpisa $DOC.sig) stvaraju se naredbama:

$gpg --detach-sign $DOC

U tekstualnom (ASCII armor) obliku (stvorit će se datoteka potpisa $DOC.asc):

$ gpg -a --detach-sign $DOC

Takvi potpisi (u posljednja dva primjera) moraju biti distribuirani zajedno s dokumentom koji se potpisuje.

Bilo koji ključ također se može uređivati ​​naredbom `--edit-key'. To će vam omogućiti da promijenite neke parametre ključa: stupanj pouzdanosti ako je to nečiji javni ključ, tajnu frazu ako je vaš privatni ključ i više.

Što se tiče stupnja pouzdanosti, u GnuPG-u postoji 5 razina:

  1. Ne znam ili neću reći (ne znam ništa o vlasniku ovog ključa ili ne želim o tome govoriti);
  2. NE vjerujem (Ne vjerujem ovoj osobi);
  3. Marginalno vjerujem (znam tu osobu i vjerujem joj, ali nisam siguran da ključ pripada njoj);
  4. potpuno vjerujem (poznajem tu osobu i osobno sam uvjeren da ključ pripada njoj);
  5. U konačnici vjerujem (znam tu osobu, imam pristup njegovom tajnom ključu).

GnuPG i otvoreni kod

GnuPG postoji u gotovo svakoj GNU/Linux distribuciji i obavezan je paket u OpenBSD, NetBSD, FreeBSD i drugim besplatnim operativnim sustavima. Mnoge aplikacije otvorenog koda podržavaju GnuPG putem raznih modula. Na primjer, gpgme (biblioteka koja djeluje kao neka vrsta posrednika između GnuPG-a i programa) koriste sljedeće aplikacije:

  • Klijenti e-pošte Evolution (uključeni u GNOME) i Sylpheed.

    Linux binarne distribucije također često koriste pakete potpisane GnuPG-om. Na primjer, u slučaju DEB paketa to su Debian GNU/Linux i Ubuntu, a kod RPM-ova to su Red Hat, Fedora, Mandriva i mnogi, mnogi drugi.

    Rezultati

    U ovom smo članku predstavili GnuPG, besplatni alat za informacijsku sigurnost. Sada se ne morate brinuti da će vaši tajni podaci biti izgubljeni ili objavljeni. Ovaj temeljno novi pristup (od stvaranja OpenPGP-a) enkripciji sa stajališta običnog korisnika do danas nam omogućuje rješavanje složenih problema povezanih s prijenosom posebno osjetljivih podataka.

Ovaj vodič više nije ažuriran

gpg4usb- besplatno prijenosni program za šifriranje sa open source. Koristi isti algoritam javnog ključa kao popularni programi GPG I PGP.

Glavna funkcija:šifriranje teksta (uključujući e-poštu) i datoteka

Operativni sustav: sve verzije sustava Windows

Licenca: besplatno, otvorenog koda

Ovdje korištena verzija programa: 0.3.3

Arhivski volumen: 16 MB

Najnovije izdanje ovog materijala: kolovoza 2014

  • Šef našeg vodstva
  • Vodič za digitalnu sigurnost i privatnost (Engleski)

Što ćete dobiti kao rezultat?

  • Mogućnost šifriranja tekstualnih poruka i datoteka gdje god se nalazili (na primjer, na poslu ili u internetskom kafiću)
  • Mogućnost šifriranja poruka bez da ste na Internetu (ili kada nema pristupa Internetu), a zatim ih poslati s računala koje ima pristup Internetu.

Pripreme za rad

  • Kliknite na ikonu gpg4usb ispod i otvorite stranicu http://www.gpg4usb.org.
  • Kliknite na veliki zeleni gumb na desnoj strani stranice i preuzmite zip arhivu na svoje računalo.
  • Raspakirajte arhivu.
  • Nakon toga možete obrisati arhivu.

Korisne informacije prije nego počnete

gpg4usb koristi algoritam šifriranja s javnim ključem. To znači da uz pomoć programa osoba stvara svoj vlastiti jedinstveni par ključeva. Prvi ključ se zove "privatni" (ili "tajni"). Vlasnik taj ključ štiti lozinkom i pohranjuje ga na sigurno mjesto. Drugi ključ se zove "javni" ključ. Možete ga otvoreno podijeliti sa svojim prijateljima. Posebnost ovog para ključeva je da ono što je šifrirano jednim može dešifrirati samo drugi, upareni.

Recimo da vam netko želi poslati šifrirano pismo. Koristi vaš javni ključ, njime šifrira tekst i šalje vam ga e-poštom. Samo ti možeš dešifrirati poruku. Uostalom, samo vi imate odgovarajući (u paru) privatni ključ.

Obrnuto: ako želite odgovoriti u enkripciji, koristite javni ključ primatelja. I on će svojim tajnim ključem pročitati tekst pisma.

Algoritam je također koristan ako trebate osigurati cjelovitost pisma. U tome će nam pomoći elektronički potpis. Za potpisivanje poruke koristite svoj privatni ključ. Svatko tada može upotrijebiti vaš javni ključ kako bi potvrdio da ste e-poštu doista potpisali vi i da tijekom prijenosa nije došlo do promjena u tekstu.

Sve se to može učiniti pomoću gpg4usb.

Bilješka. Budite oprezni: originalna (nešifrirana) e-pošta i dalje je pohranjena na vašem računalu. Ako je tajnost važna, bolje je izbrisati izvornik nakon slanja pisma.

Ključevi za šifriranje i šifrirani s gpg4usb poruke su posebno kompatibilne s drugim programima GPG I PGP.

Početak rada i izrada ključeva

Raspakirajte zip arhivu u mapu na disku i pokrenite aplikaciju start_windows.exe. Otvara se glavni prozor programa.


Prije nego što šifrirate (ili dekriptirate) bilo što, trebate učiniti dvije stvari: važne korake: prvo, stvorite par ključeva (javni i tajni), drugo, razmijenite javne ključeve sa svojim primateljima. Razgovarat ćemo o tome kako izvesti javni ključ iz programa u sljedećem dijelu, ali sada kreirajmo par ključeva.

Pažnja: Opisujemo pokretanje "čarobnjaka za kreiranje ključa" u općem slučaju (putem programskog izbornika). U slučaju gpg4usb je upravo instaliran na vašem računalu, čarobnjak za izradu ključa pokrenut će se automatski.

Odaberite "Ključ" - "Generiraj ključ" iz izbornika.

Pojavljuje se sljedeći prozor.


    Ime- ime vlasnika ključa. Služi za vizualnu identifikaciju vlasnika ključa (nešto poput imena na ormariću). Bolje je koristiti latinicu, jer danas svi programi za šifriranje ne "razumiju" ćirilicu. Iz sigurnosnih razloga ne smijete koristiti svoje pravo ime. Međutim, trebali biste shvatiti da to može zbuniti one koji s vama razmjenjuju šifrirane poruke.

    E-mail adresa- email adresa. Istina je sve što je napisano u prethodnom odlomku.

    Komentar- možete ga preskočiti.

    ističe- datum isteka ključa. Kada se dosegne ovaj datum, javni ključ se više ne može koristiti za enkripciju. Obično ovo ograničenje služi kao dodatno osiguranje u slučaju da je par ključeva ugrožen (napadač koji je preuzeo ključeve najmanje, neće ih moći koristiti zauvijek). Ako vam to nije potrebno, označite polje "bez datuma isteka".

    Duljina ključa (bitovi)- što je ključ duži, to pouzdanija zaštita a šifriranje/dešifriranje traje duže. Zadana vrijednost (2048 bita) je dovoljna.

    Lozinka- lozinka za zaštitu tajnog ključa. (Pogledajte odjeljak Kako stvoriti i pohraniti jake lozinke.)

Kliknite na gumb "OK".

Kada završite, pojavit će se posljednji prozor:

Možete provjeriti pojavljuje li se ključ na popisu.


Ikona s dva ključa implicira da se ne radi o javnom ključu, već o paru ključeva (javni i tajni).

Sada kada ste uspješno izradili par ključeva, trebate izvesti javni ključ iz programa kako bi drugi ljudi mogli šifrirati e-poštu umjesto vas. Nasuprot tome, uvezite njihove ključeve kako biste im mogli slati šifrirane poruke. Razgovarat ćemo o tome kako to učiniti u sljedećem dijelu.

Izvoz i uvoz ključeva

Kako izvesti svoj javni ključ

Prije razmjene šifriranih poruka, morate razmijeniti javne ključeve s primateljem. Da bi vam drugi ljudi mogli poslati enkripciju, moraju koristiti vaš javni ključ. Ali to je pohranjeno "negdje u programu", zar ne? Izvezimo ga.

Pritisnite gumb Upravitelj ključeva.

Odaberite ključ (stavite kvačicu pored naziva) i kliknite gumb "Izvezi u datoteku" na upravljačkoj ploči. Spremite datoteku na disk.


Datoteka će imati pomalo dugačak i nespretan naziv poput *John Doe [e-mail zaštićen](015A8EAF8C28FA30)_pub* i proširenje .asc. Sufiks pub u nazivu datoteke označava da se izvozi samo javni ključ. Usput, ova datoteka ima uobičajenu format teksta: Ako želite, možete pogledati unutra koristeći neki editor (na primjer, Notepad) i vidjeti kako to izgleda.


Fraza "BEGIN PGP PUBLIC KEY BLOCK" znači "Početak bloka javni ključ PGP". Ovo je standard za sve javne ključeve.

Gpg4usb vam omogućuje ne samo spremanje odabranog ključa na disk, već i kopiranje u međuspremnik korištenjem susjednog gumba na alatnoj traci Key Manager:

Kako uvesti tuđi javni ključ

Da biste prijatelju poslali šifrirane poruke, morate koristiti njegov javni ključ. Recimo da je prijatelj uspio izvesti svoj ključ (kao što je prikazano gore) i poslati vam datoteku s ključem. Naš zadatak je uvesti ovaj ključ u naš gpg4usb program.

Kliknite gumb za uvoz ključeva na alatnoj traci. Na popisu koji se pojavi odaberite prvu stavku "Datoteka".


Pronalazimo datoteku s ključem na disku, odabiremo je i uvjeravamo se da se ključ našeg prijatelja pojavljuje na popisu.

Kako provjeriti javni ključ

Ponekad možete biti sasvim sigurni da javni ključ koji dobijete stvarno pripada vašem prijatelju (na primjer, ako vam ga on osobno preda na flash pogonu). Ali često nema izravne veze. Pod određenim okolnostima, napadač može zamijeniti ključ prijatelja drugim, "lažnim", drugim riječima, svojim. I tada će napadač moći pročitati šifriranu poruku koju ste poslali svom prijatelju (ali vaš prijatelj neće moći). Kako se uvjeriti da je ključ pravi?

  • Kontakt s prijateljem putem nekog drugog komunikacijskog kanala, primjerice putem Skypea.
  • Uvjerite se s čime zapravo razgovaraš prava osoba(zvuk njegova glasa i slika pomoći će odagnati sumnje).
  • Zamoli prijatelja da ti da otisak njegovog ključa.

Otisak ključa niz je znakova koji prati svaki ključ. Nije tajna sama po sebi, već jedinstvena. Ako se otisak ključa koji ste primili (na primjer) putem e-pošte i otisak prsta koji je podijelio vaš prijatelj na Skypeu podudaraju, tada imate ispravan, pravi ključ u svojim rukama.

Da biste vidjeli otisak prsta, samo kliknite desni klik mišem na tipku i odaberite in kontekstni izbornik"Prikaži ključna svojstva."

U prozoru koji se pojavi možete vidjeti otisak ključa. Susjedni gumb omogućuje kopiranje otiska prsta u međuspremnik.

Vaš će primatelj morati ponoviti ove korake. Provjerite odgovaraju li otisci. Ako ne, pokušajte ponovno razmijeniti javne ključeve (možda putem različitih adresa e-pošte ili drugačije metode komunikacije) i ponovno provjerite otiske prstiju. Ako se točno podudaraju, možete biti sigurni da imate ispravne ključeve.

Kako šifrirati i dešifrirati

Kako šifrirati tekst

  • Tekst koji treba šifrirati kopiramo u međuspremnik, a zatim ga zalijepimo u prozor uređivača (“unnamed1.txt”).

  • Odaberite javni ključ primatelja (označite okvir) i kliknite gumb "Šifriraj tekst" na upravljačkoj ploči.

Šifrirani tekst pojavljuje se u prozoru uređivača.


Možete šifrirati poruku za nekoliko primatelja odjednom. Samo potvrdite okvire pored odgovarajućih javnih ključeva.

Bilješka. Kratak tekst obično “poveća” nakon enkripcije, i to je vidljivo. Ne brinite, ovdje nema izravne proporcije. tj. veliki dokument neće narasti onoliko puta koliko naraste kratak tekst.

Kako dešifrirati tekst

  • Odabir šifriranog teksta u prozoru program za poštu(servis) ili editor (jednom riječju, gdje je vidljivo), kopirajte ga u međuspremnik memorije i zalijepite u prozor uređivača gpg4usb.

  • Kliknite gumb "Dekriptiraj tekst".
  • Program traži lozinku (za tajni ključ koji se koristi za dešifriranje). Unesite lozinku i kliknite "OK".

Dešifrirani tekst pojavit će se u prozoru programa.


Bilješka. Važno je umetnuti cijeli šifrirani tekst u prozor gpg4usb, uključujući zaglavlje BEGIN PGP MESSAGE i završetak END PGP MESSAGE.

Šifriranje datoteke jednako je jednostavno kao i šifriranje teksta.

  • Kliknite gumb "Šifriraj ili dešifriraj datoteku" na alatnoj traci. U kontekstnom izborniku odaberite "Šifriraj datoteku".

Pojavljuje se prozor koji od vas traži da odaberete datoteku.

  • Ulazna datoteka- odaberite datoteku na disku koju ćete šifrirati.
  • Izlazna datoteka- osmislite naziv datoteke gdje će se rezultat spremiti.

  • Odaberite (označite) ključ primatelja kojemu je kriptirana datoteka namijenjena i kliknite na gumb “OK”.

Možete provjeriti je li se nova šifrirana datoteka pojavila na navedenoj stazi. Sada se može poslati primatelju, na primjer, e-poštom.

Programu nije važno koju vrstu datoteka šifrirate. To mogu biti dokumenti, proračunske tablice, prezentacije, ukratko, bilo što. Ne zaboravite: šifrirati datoteku velike veličine može potrajati.

Bilješka. Enkripcija sažima datoteku. Nema potrebe za posebnim komprimiranjem (arhiviranjem) datoteka prije šifriranja.

Bilješka. Važno: naziv datoteke nije šifriran. Ako primatelju šaljete osjetljive informacije, imajte to na umu. Bolje je dati datoteci neko neutralno, apstraktno ime.

Kako dešifrirati datoteku

  • Kliknite gumb "Šifriraj ili dešifriraj datoteku" na alatnoj traci. U kontekstnom izborniku odaberite "Dekriptiraj datoteku".
  • Pojavljuje se prozor u kojem je potrebno odabrati ulaznu datoteku (kriptiranu) na disku i odrediti željenu izlaznu datoteku (rezultat).
  • Unesite lozinku za naš tajni ključ.

Sve. Možete provjeriti nalazi li se dešifrirana datoteka na disku.

Bilješka. Ako radite u internetskom kafiću ili uopće ne koristite svoje računalo, možda bi bilo bolje da šifriranu datoteku spremite na USB flash pogon kako biste je kasnije mogli dešifrirati u sigurnijem okruženju.

Sigurnosna kopija ključa

Kao i svaki drugi važan podatak, ključevi za šifriranje zahtijevaju pažljivo rukovanje. (Pogledajte poglavlje "Kako izbjeći gubitak podataka"). Dakle, postoji mnogo poznatih slučajeva u kojima su ljudi ponovno instalirali operativni sustav, nakon što su prethodno kopirali svoje podatke, ali su zaboravili na ključeve. Naravno, možete stvoriti novi par ključeva; ali bez prethodnog tajnog ključa nećete moći pročitati nijednu prethodno šifriranu e-poštu koja vam je poslana.

Naravno, gpg4usb je prijenosni program i može raditi s USB flash pogona. Ali flash pogoni se također ponekad oštete, izgube ili padnu u pogrešne ruke, koje (namjerno ili ne) brišu važne podatke. Stoga je bolje imati sigurnosne kopije svojih ključeva.

Kako izvesti svoj privatni ključ

Zaštita vaših podataka od znatiželjnih očiju u nekim slučajevima može biti pitanje života i smrti, a oslanjati se na druge u tom slučaju znači povjeriti im svoje podatke. Možete koristiti vlastite resurse kako biste zaštitili svoje dopisivanje od znatiželjnih nosova. GPG enkripcija.

  • GPG enkripcija
  • Povijest PGP/GPG enkripcije
  • Uvjeti GPG šifriranja
  • Instalacija GPG enkripcije
  • Šifrirajte poruke i datoteke
  • Potpisi u GPG enkripciji
  • Značajka Web of Trust
  • Zašto je potrebna enkripcija

GPG enkripcija

Ovo je alat asimetrična enkripcija. Jednostavno rečeno, stvara poruku koju može pročitati samo osoba kojoj ste je napisali. Neophodan je pri prijenosu bilo koje važne tekstualne informacije. To mogu biti e-poruke, osobne poruke na forumima ili čak na javnim otvorenim servisima. Osim enkripcije, nudi i nekoliko drugih sigurnosnih značajki.

Enkripcija je uvijek bila najočitiji način zaštite vaše komunikacije. Prije se to radilo pomoću simetrične enkripcije, koja je zahtijevala prijenos ključeva preko pouzdanog kanala. S razvojem elektroničkih komunikacija i povećanjem količine podataka i mogućnosti, siguran prijenos ključeva postao je težak zadatak.

Povijest PGP/GPG enkripcije

Sedamdesetih godina prošlog stoljeća razvijeni su asimetrični algoritmi koji omogućuju sigurnu, otvorenu i automatsku razmjenu ključeva. Dizajn takvih algoritama omogućuje dvjema stranama razmjenu javnih ključeva koji se koriste za identifikaciju primatelja poruke, a prilikom šifriranja koriste javni ključ primatelja istovremeno s tajni ključ pošiljatelj. Poruku je moguće dešifrirati samo tajnim ključem primatelja, a bit će jasno da je enkripciju izvršio vlasnik javnog ključa, odnosno pošiljatelj. U ovoj shemi tajni ključevi koji se koriste za dešifriranje ne moraju se prenositi, tako da ostaju sigurni, a pošiljatelj poruke se otkriva tijekom dešifriranja, čime se eliminira mogućnost zamjene informacija. Ali takav izum bio je dostupan samo vojsci i specijalnim snagama. usluge.

Godine 1991. javno dostupan alat za asimetrično šifriranje za osobna upotreba- PGP, koji je postavio standard, ali se plaćao i bio registrirani zaštitni znak.

Godine 1999. stvoren je GPG - besplatni, besplatni, otvoreni i potpuno usklađeni sa standardima analogni PGP-u. Upravo je GPG postao najpopularniji i najzreliji alat za asimetrično šifriranje.

Uvjeti GPG šifriranja

Prije nego počnete koristiti GPG, morate razumjeti nekoliko ključnih značajki ovog alata. Prva i glavna značajka je koncept "ključeva". Svaki korisnik kreira svoj privatni ključ. Korisnički ključ sastoji se od dva dijela

  • Javni ključ (iz javnog dijela)
  • Tajni ključ (iz tajnog dijela)

Tajni ključ odgovoran je za procese šifriranja odlaznih poruka i dekriptiranja primljenih. Treba ga pohraniti na sigurno mjesto. Opće je prihvaćeno da ako se netko dočepa privatnog ključa, ključ se može smatrati ugroženim i stoga nesigurnim. Ovo treba izbjegavati.


GPG4USB

Druga značajka je da su ključevi temeljeni na različitim algoritmima međusobno kompatibilni. Nije važno koristi li korisnik RSA ili ELGamal, enkripcija ne zahtijeva brigu o takvim detaljima. To se postiže radom prema gore spomenutom standardu i pomoću nekih kriptografskih tehnika. Ovo je jedna od glavnih prednosti GPG-a. Dovoljno je znati potrebne naredbe, a program će sve učiniti sam. Knjižnica uključuje velik broj asimetričnih algoritama, simetričnih šifara i jednosmjernih hash funkcija. Raznolikost je također prednost jer vam omogućuje stvaranje općenitih preporučenih konfiguracija koje odgovaraju većini i mogućnost fino ugađanje za iskusnije korisnike.

Kako instalirati GPG enkripciju

Za početak morate instalirati sam GPG. Korisnici Linuxa može dostaviti iz bilo kojeg upravitelj paketa, tamo tražeći “ ” ili ga prikupite ručno. Korisnici Windowsa mogu koristiti vrlo zastarjeli klijent koji ima nekoliko neugodnih grešaka i više značajki, ili prijenosni i noviji klijent koji ima manje značajki, ali mnogo jednostavniji i stabilniji. Usput, već smo pisali o tome kako koristiti GPG4USB klijent.


Neovisno o operativnom sustavu i klijentu, nakon instalacije morat ćete kreirati vlastiti ključ unosom odgovarajuće naredbe u terminal ili klikom na odgovarajuću naredbu u klijentu. Program će od vas tražiti da odaberete algoritam šifriranja. Obično ih postoje dva - RSA i ELGamal (zapravo tri, ako se na Linux usudite instalirati eksperimentalnu "modernu" granu s kriptografijom eliptične krivulje). Ne postoje posebne preporuke o algoritmima, oni su različiti i svatko bira shemu po svom ukusu.

Zatim morate odlučiti o veličini ključa u bitovima. Ni tu nema kratkog i jasnog odgovora. Predugi ključevi također imaju nedostataka. Jedno je sigurno: kada birate RSA i ELGamal, nemojte koristiti ključeve manje od 2048 bita, izuzetno su nesigurni. Zatim će program od vas tražiti da ispunite nekoliko obrazaca: E-mail, Ime i komentar. Email i ime su javni podaci koje mogu vidjeti svi s kojima se dopisujete.

Kao poštu možete navesti druge vrste komunikacije, na primjer, ID usluge ili instant messengera ( , Jabber, itd.), odvajajući identifikator/adresu i naziv usluge znakom "@". Najčešće se sadržaj ovog polja koristi za identifikaciju vlasnika ključa.

Odaberite ime po vlastitom nahođenju. Na primjer, često korišteni nadimak ili čak "Anonimno".

Polje za komentar nije obavezno. Možete unijeti dodatnu. adresa ili vaš položaj. Komentar će biti vidljiv ostalim korisnicima.

Nakon popunjavanja svih obrazaca morate unijeti lozinku. Možete ga preskočiti, što nije preporučljivo, jer je to jedina sigurnosna mjera koja će zaštititi tajni dio ključa u slučaju da datoteku s tim ključem uhvati napadač. Također je važno ne zaboraviti lozinku, inače rad s ključem više neće biti moguć. Prilikom izrade ključa morate pažljivo provjeriti jesu li sva polja ispravno unesena - pogreške se kasnije ne mogu ispraviti. Javni ključ se distribuira među velike količine ljudi, pa nije uobičajeno da ih korisnici često mijenjaju - nemaju svi kontakti novi ključ.

Nakon što ste generirali svoj GPG ključ, možete ga početi distribuirati. Da biste to učinili, morate unijeti naredbu za prikaz javnog dijela. Povijesno gledano, program se izvorno koristio za šifriranje pošte i potpisivanje javnih poruka mailing liste, tako da se ključevi prikazuju u skladu s PEM (Privacy Enhanced Mail) formatom. Format je jedan standardni blok ključa, koji počinje zaglavljem - BEGIN PGP PUBLIC KEY BLOCK -, nakon čega slijedi prilično dugo tijelo samog ključa, kodirano brojevima i latinica, i završno zaglavlje - END PGP PUBLIC KEY BLOCK -. Cijeli blok sa zaglavljima predstavlja GPG ključ i mora se distribuirati u cijelosti. Osim ručne distribucije ključeva, moguće je koristiti specijalizirane poslužitelje. Korisnik prenosi svoj javni ključ na poslužitelj i svatko ga može zatražiti ako je potrebno. Mnogi programi često određuju MIT poslužitelj kao zadani poslužitelj.

Svaki GPG ključ je jedinstven. Nemoguće je ručno zapamtiti i usporediti tako velike blokove tipki, pa za to postoje otisci prstiju. Svaki otisak ključa također je jedinstven, formiran od javnog dijela, pružajući kratki jedinstveni niz za identifikaciju. Niz otisaka prstiju sadrži 40 znakova, odvojenih razmacima u 4 znaka. Važno je znati da je zadnjih 8 ili 16 znakova ujedno i ID ključa. Kada koristite naredbe s terminala, morat ćete navesti ID za rad. Otisci prstiju korisni su za brzu usporedbu dviju tipki ili kratki pokazivač na željenu tipku kada je prostor ograničen.

Šifrirajte poruke i datoteke

Poruke šifrirane GPG-om sastoje se od blokova sličnih javnom ključu, samo sa zaglavljem - BEGIN PGP MESSAGE -, a duljina znakovno kodiranog dijela ovisi o duljini poruke. Slične poruke može pročitati samo vlasnik ključa kojemu je poruka upućena. Također možete šifrirati svoju poruku za nekoliko ključeva, što je vrlo zgodno kada komunicirate s malom grupom ljudi. Također možete šifrirati datoteke, tada će rezultat šifriranja biti zapisan u datoteku, a ne kodiran u tekstualne znakove.

Potpisi u GPG-u

Potpisivanje poruka je zgodno sredstvo otvorene javne potvrde autorstva, jer, kao i u slučaju enkripcije, samo pravi vlasnik ključa može potpisati svoju poruku takvim ključem i nemoguće je krivotvoriti takav potpis. Razlikuje se od šifriranih poruka po tome što tekst ostaje otvoren, s obje strane okružen odgovarajućim zaglavljem, a ispod se dodaje mali blok samog potpisa, također kodiran simbolima. Kada pokušavate promijeniti barem jedan lik otvoreni tekst, potpis više neće biti valjan. Provjera potpisa također se vrši pomoću GPG-a.

Potpisi se također mogu koristiti na datotekama. Ovu funkciju osobito često koriste programeri sigurnosnog softvera. To je učinjeno kako bi se spriječila zamjena datoteka od strane napadača koji mogu ugraditi zlonamjerni kod u programe. Arhive ili sklopovi obično se potpisuju; sam potpis se sprema u posebnu datoteku s ekstenzijom .asc ili .sig. Ključ je objavljen na nekoliko mjesta i/ili uploadan na server, gdje ga je vrlo teško zamijeniti. Sam postupak provjere naziva se "provjera potpisa".

Značajka Web of Trust

Još jedna značajka GPG-a koju vrijedi spomenuti je Web of Trust. Koristi se za potvrdu da javni ključ pripada određenoj osobi. Da bi to učinili, GPG korisnici koji se međusobno poznaju razmjenjuju ključeve kada se osobno sretnu.

Svaki od njih provjerava otisak ključa i kreira za svaki primljeni ključ elektronički certifikat, dokazujući pouzdano podudaranje između određene osobe i javnog ključa.

Stvaranje certifikata naziva se "potpisivanje ključa". Sam certifikat se zatim učitava na poslužitelj ključeva i svatko ga može zatražiti. Podrazumijeva se da što je više korisnika potpisalo ključ, to je veće povjerenje u vlasnika.

Model korištenja WoT-a pretpostavlja da korisnici uvijek naznače svoja prava imena u ključevima i svi koji žele uspostaviti mrežu povjerenja mogu se fizički sastati za osobna razmjena ključevi. Zbog toga je takvu shemu teško implementirati u anonimnoj komunikaciji.

Kada komunicirate pseudonimom za razmjenu, možete koristiti komunikacijske kanale ili usluge s autentifikacijom koja će potvrditi autentičnost. U svakom slučaju, mreže povjerenja u anonimnoj ili pseudonimnoj komunikaciji nisu toliko jake, dijelom zbog nedostatka „jakog skupa“ koji čini jezgru korisnika od povjerenja, dijelom zbog ljudskog faktora. Odluka o izvedivosti sličnu mrežu povjerenje u potpunosti leži na skupini korisnika koji ga žele izgraditi.

Zašto je potrebna enkripcija

Zašto nam uopće treba sva ta enkripcija ako osoba ništa ne skriva i ne razbija? Ovo je jedno od najčešće postavljanih pitanja. Postoji nekoliko odgovora na ovo. Za posljednjih godina mogućnost potpunog nadzora aktivnosti umrežavanja milijuna korisnika nije postalo pitanje tehničke složenosti, već resursa. Vlasnici takvih resursa - sve obavještajne službe svijeta i deseci velikih korporacija, pomoću programa kao što su PRISM i XKeyscore, mogu godinama prikupljati i pohranjivati ​​sve e-mailove, SMS poruke i povijest poziva.

Time se krše ustavna prava građana na tajnost dopisivanja, ali je utjecaj ovih organizacija toliko jak da je nemoguće zaustaviti nezakonito prikupljanje informacija. Korištenje GPG-a neće ukloniti nadzor s milijuna ljudi niti magično popraviti cijeli svijet. To je samo alat u rukama čovjeka. Alat koji vam omogućuje spremanje slova i riječi samo za one kojima su namijenjeni i ni za koga drugog. To nije puno, ali barem svakome vraća pravo na tajnost dopisivanja.

Ako se prikupljanje podataka i nadzor čine previše udaljenim, možete pogledati enkripciju iz još praktičnije perspektive. Isti email u otvorena forma prelazi desetke međučvorovi. Svaki od njih može imati neograničen broj ranjivosti i sigurnosnih rupa koje svatko može iskoristiti.

Evaluacija GPG enkripcije

Naša procjena

GPG enkripcija izvrstan je alat za šifriranje e-pošte i digitalnih materijala.

Korisnička ocjena: 4,41 (27 ocjena)

Imam svježe instalirani CentOS 7 poslužitelj na VDS-u s KVM virtualizacijom. Govorit ću o tome kako napraviti osnovno postavljanje poslužitelja da ga koristite u bilo kojem svojstvu prema vlastitom nahođenju. To može biti web poslužitelj, vpn poslužitelj,poslužitelj za praćenje. Govorit ću o početnim postavkama CentOS sustava koje povećavaju sigurnost i jednostavnost rada s poslužiteljem. Napominjem da je u 7. verziji sustava došlo do nekih promjena u odnosu na prethodne verzije.

Uvod

Još jednom, imajte na umu da ove postavke postavljam na virtualnom poslužitelju. Ako imate hardverski poslužitelj, preporuča se izvršiti još neke postavke koje ovdje ne spominjem. To uključuje, na primjer, postavljanje i provjeru tolerancije grešaka u slučaju kvara jednog od diskova. Isključivanje redovite provjere niz mdadm, itd.

Početno postavljanje CentOS-a 7

Dakle, imamo: # uname -a Linux zeroxzed.ru 3.10.0-123.20.1.el7.x86_64 #1 SMP Thu Jan 29 18:05:33 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Prije svega, ažurirajmo osnovni sustav:

# yum ažuriranje

Radi lakšeg administriranja uvijek instaliram Ponoćni zapovjednik, ili samo mc:

# yum instalirajte mc

I odmah za njega uključujem označavanje sintakse za sve datoteke koje nisu eksplicitno označene u datoteci /usr/share/mc/syntax/Sintaksa sintaksa za sh i bash skripte. Ova univerzalna sintaksa je dobra za konfiguracijske datoteke s kojima najčešće morate raditi na poslužitelju. Prepisivanje datoteke nepoznato.sintaksa. Ovo je obrazac koji će se primijeniti na .conf i .cf datoteke, budući da njima nije pridružena eksplicitna sintaksa.

# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax

# ifconfig

I vidjet ćete odgovor:

Bash: ifconfig: naredba nije pronađena

Barem kada sam ga prvi put vidio, bio sam prilično iznenađen. Mislio sam da sam pogriješio u pisanju naredbe, nekoliko puta sam sve provjerio, ali bezuspješno. Ispostavilo se da moram zasebno instalirati paket za pokretanje ifconfiga i drugih mrežnih uslužnih programa.

Umjesto ifconfig-a u CentOS-u 7 sada postoji uslužni program ip. Ne razumijem zašto postoji potreba za stvaranjem zasebnih programa za upravljanje mrežnim postavkama ako ifconfig ionako odlično obavlja posao. Osim toga, to mi se uvijek sviđalo razne distribucije Linux je otprilike isti. Koristeći ifconfig možete konfigurirati mrežu ne samo u Linuxu, već iu freebsd-u. Zgodno je. A kada svaka distribucija ima svoj alat, to je nezgodno. Stoga predlažem da instalirate uobičajeni ifconfig.

Učinimo ovo:

# yum instalirajte net-tools

Sada, da bi nslookup ili, na primjer, host naredbe radili, moramo instalirati paket bind-utils. Ako to nije učinjeno, upotrijebite naredbu:

#nslookup

Izlaz će biti:

Bash: nslookup: naredba nije pronađena

Dakle, instalirajmo bind-utils:

# yum instaliraj bind-utils

Onemogući SELinux. Njegova uporaba i konfiguracija je posebna stvar. Neću to sada učiniti. Pa hajde da ga isključimo:

# mcedit /etc/sysconfig/selinux

promijeniti vrijednost
SELINUX=onemogućeno
Da bi promjene stupile na snagu, ponovno pokrenite:

# ponovno pokretanje

SElinux možete onemogućiti bez ponovnog pokretanja sustava:

#setenforce 0

Određivanje mrežnih parametara

Sada konfigurirajmo mrežu u CentOS-u. Da biste to učinili, otvorite datoteku /etc/sysconfig/network-scripts/ifcfg-eth0

# mcedit /etc/sysconfig/network-scripts/ifcfg-eth0

U polje IPADDR upisujemo vašu adresu, u NETMASK masku mreže, u GATEWAY gateway, DNS1 adresu dns servera. Spremite datoteku i ponovno pokrenite mrežu za primjenu postavki:

# /etc/init.d/restart mreže

Postavljanje vatrozida

Sada ćemo brzo i jednostavno postaviti vatrozid. U CentOS 7, iptables djeluje kao vatrozid. Prema zadanim postavkama radi. Za pregled trenutnih pravila potrebno je unijeti naredbu:

# iptables -L -v -n

Želim vas odmah upozoriti da je bez pristupa konzoli poslužitelja postavljanje vatrozida loša ideja. Čak i ako vrlo dobro razumijete što radite i učinili ste to mnogo puta, još uvijek postoji mogućnost da ostanete bez pristupa poslužitelju. Dakle, prva stvar prije postavljanja iptables je provjeriti pristup konzoli putem KVM-a ili fizički.

U 7 CentOS verzije Novi alat pod nazivom firewalld razvijen je za upravljanje iptables-om i sve se upravljanje vrši preko njega. Nisam razumio zašto su to učinili i ne mogu reći je li s tim postalo praktičnije ili ne. Za mene je prikladnije koristiti iste iptables razvoje. Prilikom prelaska s poslužitelja na poslužitelj i s distribucije na distribuciju, jednostavno uredim skriptu postavki vatrozida.

Ali iz nekog razloga CentOS je smislio firewalld, Ubuntu ima ufw, ali suština je ista - to su pomoćni programi za konfiguriranje iptables, što je isto u svim distribucijama. Navikao sam upravljati iptables putem skripte koju sam napisao, koju prenosim s poslužitelja na poslužitelj i uređujem kako bi odgovarao specifičnim potrebama. Podijelit ću ovu skriptu. Dakle, prvo zaustavimo i onemogućimo firewall:

# systemctl zaustavi firewalld # systemctl onemogući firewalld rm "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service" rm "/etc/systemd/system/basic.target.wants/firewalld.service"

Instalirajmo pomoćne programe za iptables:

# yum -y instaliraj iptables-services

Omogućimo automatsko pokretanje iptables:

# systemctl omogući iptables

Kreirajmo sada datoteku /etc/iptables_rules.sh sa sljedećim sadržajem:

#!/bin/bash # # Deklaracija varijabli export IPT="iptables" # Sučelje koje gleda na Internet export WAN=eth0 export WAN_IP=149.154.71.205 # Brisanje svih lanaca iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X # Postavite zadana pravila za promet koji ne odgovara niti jednom od pravila $IPT -P INPUT DROP $IPT -P OUTPUT DROP $ IPT -P FORWARD DROP # dopusti lokalni promet za povratnu petlju $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # Dopusti odlazne veze sa samog poslužitelja $IPT -A OUTPUT -o $WAN -j ACCEPT # Stanje ESTABLISHED označava da ovo nije prvi paket na vezi. # Preskoči sve već započete veze, kao i njihovu djecu $IPT -A INPUT -p sve -m stanje --stanje ESTABLISHED,RELATED -j ACCEPT # Preskoči nove, kao i već započete veze i njihovu djecu $IPT -A IZLAZ -p sve -m stanje --stanje ESTABLISHED,RELATED -j ACCEPT # Dopusti prosljeđivanje za već pokrenute i njihove podređene veze $IPT -A FORWARD -p sve -m stanje --stanje ESTABLISHED,RELATED -j ACCEPT # Omogući fragmentaciju paketa . Neophodno zbog različita značenja MTU $IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # Ispusti sve pakete koji se ne mogu identificirati # i stoga ne mogu imati definiran status. $IPT -A INPUT -m stanje --stanje NEVAŽEĆE -j DROP $IPT -A NAPRIJED -m stanje --stanje NEVAŽEĆE -j DROP # Uzrokuje vezivanje resursi sustava, tako da stvarna # razmjena podataka postane nemoguća, odrežite $IPT -A INPUT -p tcp ! --syn -m stanje --stanje NOVO -j DROP $IPT -A IZLAZ -p tcp! --syn -m stanje --stanje NOVO -j DROP # Dopusti pingove $IPT -A INPUT -p icmp --icmp-type echo-reply -j PRIHVATI $IPT -A INPUT -p icmp --icmp-type odredište- nedostupan -j ACCEPT $IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Otvori port za ssh $IPT - A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT # Otvori port za DNS #$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT # Otvori port za NTP # $IPT - A INPUT -i $WAN -p udp --dport 123 -j ACCEPT # Zapisivanje # Sve što nije dopušteno, ali se prekida, bit će poslano u lanac undef $IPT -N undef_in $IPT -N undef_out $IPT -N undef_fw $IPT -A INPUT -j undef_in $IPT -A OUTPUT -j undef_out $IPT -A FORWARD -j undef_fw # Bilježi sve od undef $IPT -A undef_in -j LOG --log-level info --log-prefix " -- IN -- DROP " $IPT -A undef_in -j DROP $IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP " $IPT -A undef_out -j DROP $IPT -A undef_fw - j LOG --log-level info --log-prefix "-- FW -- DROP " $IPT -A undef_fw -j DROP # Pravila za pisanje /sbin/iptables-save > /etc/sysconfig/ iptables

U principu, nema se što dodati; svi komentari su dati u datoteci. U ovom obliku, dnevnici svega blokiranog bit će zapisani u datoteku /var/log/messages i tamo će biti puno unosa. Dakle u redovnog rada Ove retke treba komentirati i koristiti samo tijekom otklanjanja pogrešaka. Detaljniji opis pravila i primjeri postavki vatrozida u slučaju kada je vaš poslužitelj gateway lokalna mreža, navedeno u poveznici na početku odjeljka.

Napravite datoteku s pravilima izvršnom i pokrenite je:

# chmod 0740 /etc/iptables_rules.sh # /etc/iptables_rules.sh

Provjerimo primjenjuju li se pravila:

# iptables -L -v -n

Svaki put kada pokrenete datoteku pravila iptables, sve promjene se zapisuju u datoteku /etc/sysconfig/iptables i primjenjuju se kada se sustav podigne.

Postavljanje SSH-a na CentOS 7

Zatim ćemo napraviti neke promjene u načinu na koji ssh radi kako bismo povećali sigurnost. Servis prema zadanim postavkama radi na portu 22, a ako sve ostavimo kako jest, dobit ćemo ogroman broj pokušaja prijave. Botovi neprestano skeniraju internet i odabiru ssh lozinke. Kako bismo se zaštitili od skeniranja jednostavnih robota, promijenimo port na kojem radi ssh. Možete odabrati bilo koji peteroznamenkasti broj, nije važno. To će vas zaštititi od automatskog skeniranja. Objesimo ssh demon na port 25333. Da biste to učinili, uredite datoteku /etc/ssh/sshd_config

# mcedit /etc/ssh/sshd_config

Odkomentirajmo liniju Port 22 i zamijenimo vrijednost 22 s 25333.
Također vam obično dopuštam da se povežete putem ssh korisniku korijen. Tako mi je zgodnije. Nikada nisam imao problema s ovim. Ako mislite da nije sigurno, ne dirajte ovu postavku. Da biste root korisniku omogućili povezivanje putem ssh-a, uklonite komentare s retka PermitRootLogin yes.

Spremite datoteku. Sada ćemo se sigurno promijeniti iptables postavke, dopuštenim vezama dodajte port 25333 umjesto 22. Ako se to ne učini, nakon ponovnog pokretanja sshd-a izgubit ćemo udaljeni pristup poslužitelju. Dakle, otvorite /etc/iptables_rules.sh i promijenite redak

$IPT -A INPUT -i $WAN -p tcp --dport 22 -j PRIHVATA

22 do 25333 i izvršite datoteku. Naše trenutna veza neće biti prekinut, jer je već instaliran, ali se neće moći ponovno spojiti putem ssh-a na port 22.

Ponovo pokrenite sshd:

# systemctl ponovno pokrenite sshd

Provjerite koji port sshd sluša:

# netstat -tulpn | grep sshd tcp 0 0 0.0.0.0:25333 0.0.0.0:* SLUŠAJ 1799/sshd tcp6 0 0:::25333:::* SLUŠAJ 1799/sshd

Ako je izlaz isti kao moj, onda je sve u redu, sada se možete spojiti na ssh preko porta 25333.

Dodajmo još jednu malu postavku. Ponekad kada se pojave problemi s dns poslužitelj, prijava preko ssh-a se zamrzava na 30-60 sekundi. Nakon što unesete prijavu, jednostavno čekate priliku za unos lozinke. Da bismo izbjegli ovo usporavanje, kažemo ssh-u da ne koristi dns u svom radu. Da biste to učinili, u konfiguraciji odkomentirajte redak s parametrom UseDNS i onemogućite ga. Prema zadanim postavkama omogućeno je.

Koristite DNS br

Da biste primijenili promjene, morate ponovno pokrenuti ssh uslugu, kao što smo učinili ranije.

Postavljanje vremena

Koliko je sati na poslužitelju možete saznati pomoću naredbe datum:

Za promjenu vremenske zone, morate odabrati odgovarajuću datoteku vremenske zone u /usr/share/zoneinfo. Ako je vaša vremenska zona Moskva, učinite sljedeće:

# mv /etc/localtime /etc/localtime.bak # ln -s /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Ili možete upotrijebiti poseban uslužni program koji je uključen u CentOS 7. Radi potpuno istu stvar:

# timedatectl set-timezone Europa/Moskva

CentOS 7 ima uslužni program za sinkronizaciju vremena kronični. U standardna instalacija mora biti instaliran u sustavu, nije u minimalnom. Ako ga nemate, instalirajte ga ručno:

# yum instaliraj chrony

Pokrenite chrony i dodajte pokretanju:

# systemctl pokreni chronyd # systemctl omogući chronyd

Provjerimo je li normalno krenulo:

# systemctl status chronyd ● chronyd.service - NTP klijent/poslužitelj Učitano: učitano (/usr/lib/systemd/system/chronyd.service; omogućeno; unaprijed postavljeno dobavljača: omogućeno) Aktivno: aktivno (pokrenuto) od petka 2016-08-05 00:33:09 MSK; Preostalo 52 minute Glavni PID: 667 (chronyd) CGroup: /system.slice/chronyd.service └─667 /usr/sbin/chronyd 5. kolovoza 00:33:09 centos.local systemd: Pokretanje NTP klijenta/poslužitelja... 5. kolovoza 00:33:09 centos.local chronyd: chronyd verzija 2.1.1 počinje (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +DEBUG +ASYNCDNS +IPV6 +SECHASH) 5. kolovoza 00:33:09 centos.local chronyd: Generirani ključ 1. kolovoza 5. 00:33:09 centos.local systemd: Pokrenut NTP klijent/poslužitelj. Aug 05 00:33:26 centos.local chronyd: Odabrani izvor 85.21.78.91 Aug 05 00:33:26 centos.local chronyd: Sat sustava pogrešan za -3595.761368 sekundi, podešavanje je počelo 04. kolovoza 23:33:30 centos.local chronyd : Sat sustava pomaknut je za -3595,761368 sekundi

Sve je u redu, servis radi. Nakon pokretanja, automatski sinkronizira vrijeme.

Za sinkronizaciju vremena možete koristiti poznatiji program, koji je prisutan u gotovo svim unix distribucijama - ntp. Instalirajte ntp uslužni program za sinkronizaciju vremena u CentOS:

# yum instaliraj ntp

Sinkronizirajmo vrijeme jednom:

# /usr/sbin/ntpdate pool.ntp.org

Ako ntpdate ne radi, pogledajte materijal, možda je ovo vaš slučaj. Pokrenimo sinkronizacijski demon i snimimo njegovo pokretanje u pokretanju:

# systemctl pokreni ntpd # systemctl omogući ntpd ln -s "/usr/lib/systemd/system/ntpd.service" "/etc/systemd/system/multi-user.target.wants/ntpd.service"

Sada će se naš sat automatski sinkronizirati s vremenskim poslužiteljem.

Nemojte koristiti oba demona vremenske sinkronizacije - chrony i ntp - u isto vrijeme. Odaberite jedan. Osobno ne vidim nikakvu razliku u njima; najčešće koristim uobičajeni ntp.

Dodavanje spremišta

Da biste instalirali različiti softver, morate povezati repozitorije u CentOS. Najpopularniji su EPEL i rpmforge, pa dodajmo i njih. Prvo instaliramo EPEL. S njim je sve jednostavno, dodaje se iz standardnog repozitorija:

# yum instalirajte epel-release

Instalirajte rpmforge:

# rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt # yum instalacija http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1 .el7.rf.x86_64.rpm

# yum instaliraj http://repository.it4i.cz/mirrors/repoforge/redhat/el7/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm

Postavljanje pohrane povijesti u bash_history

Bit će korisno napraviti neke promjene u standardnom mehanizmu za spremanje povijesti naredbi. Često pomaže kada se morate sjetiti jedne od prethodno unesenih naredbi. Standardne postavke imaju neka ograničenja koja su nezgodna. Evo njihovog popisa:

  1. Prema zadanim postavkama sprema se samo zadnjih 1000 naredbi. Ako ih ima više, stariji će biti izbrisani i zamijenjeni novima.
  2. Ne postoje datumi izvršenja za naredbe, samo njihov popis prema redoslijedu izvršenja.
  3. Datoteka popisa naredbi ažurira se nakon završetka sesije. Tijekom paralelnih sesija neke se naredbe mogu izgubiti.
  4. Apsolutno sve naredbe su spremljene, iako neke nema smisla pohranjivati.

Popis zadnjih izvršenih naredbi je pohranjen u kućni imenik korisnik u datoteci .bash_povijest(točka na početku). Možete ga otvoriti bilo kojim uređivačem i pregledati. Za praktičniji prikaz popisa možete unijeti naredbu u konzolu:

#povijest

i pogledajte numerirani popis. Određenu naredbu možete brzo pronaći filtriranjem samo potrebnih redaka, na primjer ovako:

#povijest | grep njam

Na taj način ćemo vidjeti sve opcije za pokretanje naredbe yum, koje su pohranjene u povijesti. Ispravimo navedene nedostatke standardnih postavki za pohranu povijesti naredbi u CentOS 7. Da biste to učinili, morate urediti datoteku .bashrc, koji se nalazi u istom direktoriju kao i datoteka povijesti. Dodajte mu sljedeće retke:

Izvoz HISTSIZE=10000 izvoz HISTTIMEFORMAT="%h %d %H:%M:%S " PROMPT_COMMAND="povijest -a" izvoz HISTIGNORE="ls:ll:history:w:htop"

Prva opcija povećava veličinu datoteke na 10 000 redaka. Možete napraviti više, iako je ova veličina obično dovoljna. Drugi parametar određuje da datum i vrijeme izvršenja naredbe trebaju biti pohranjeni. Treći red prisiljava na spremanje u povijest odmah nakon izvršenja naredbe. U zadnjem retku kreiramo popis iznimaka za one naredbe koje ne moraju biti zabilježene u povijesti. Dao sam primjer najjednostavnije liste. Možete ga dodati po vlastitom nahođenju.

Da biste primijenili promjene, morate se odjaviti i ponovno spojiti ili pokrenuti naredbu:

# izvor ~/.bashrc

Automatsko ažuriranje sustava

Da bi se sigurnost poslužitelja održala na odgovarajućoj razini, potrebno ga je barem pravovremeno ažurirati - poput same jezgre s pomoćni programi sustava, kao i ostali paketi. To možete učiniti ručno, ali za više učinkovit rad Bolje je automatizirati rutinske radnje. Nije potrebno automatski instalirati ažuriranja, ali barem ih provjerite. Obično slijedim ovu strategiju.

Za automatska provjera uslužni program će nam pomoći u ažuriranju njam-cron. Tradicionalno se instalira putem yum-a iz standardnog repozitorija.

# yum instalirajte yum-cron

Nakon instalacije se stvara automatski zadatak izvršiti pomoćni program u /etc/cron.daily I /etc/cron.svaki sat. Prema zadanim postavkama, uslužni program preuzima pronađena ažuriranja, ali ih ne primjenjuje. Umjesto toga, obavijest o ažuriranju šalje se administratorovom lokalnom korijenskom poštanskom sandučiću. Onda ste već unutra ručni način rada uđite i odlučite hoćete li instalirati ažuriranja ili ne u vrijeme koje vama odgovara. Smatram da je ovaj način rada najprikladniji, stoga ne mijenjam te postavke.

Konfiguracijske datoteke yum-cron nalaze se na /etc/yum/yum-cron.conf I yum-cron-po satu.konf. Dobro su komentirani, pa im ne trebaju detaljna objašnjenja. Skrećem vam pozornost na odjeljak , gdje možete odrediti parametre za slanje poruka. Prema zadanim postavkama, pošta se šalje putem lokalnog hosta. Ovdje možete promijeniti postavke i slati poruke putem treće strane poslužitelj pošte. No umjesto toga, osobno radije globalno konfiguriram cijeli poslužitelj da proslijedi lokalnu korijensku poštu u vanjski poštanski sandučić putem autorizacije na drugom SMTP poslužitelju.

Onemogući preplavljivanje poruka u /var/log/messages

U zadanoj instalaciji CentOS-a 7, cijeli dnevnik vašeg sustava /var/log/messages Nakon nekog vremena poslužitelj će biti zakrčen sljedećim zapisima.

16. listopad 14:01:01 xs-files systemd: kreiran isječak user-0.slice. 16. listopada 14:01:01 xs-files systemd: Pokretanje user-0.slice. 16. listopad 14:01:01 xs-files systemd: Pokrenuta sesija 14440 korisnika root. 16. listopada 14:01:01 xs-files systemd: Pokretanje sesije 14440 root korisnika. 16. listopada 14:01:01 xs-files systemd: Uklonjen isječak user-0.slice. 16. listopada 14:01:01 xs-files systemd: Zaustavljanje user-0.slice. 16. listopad 15:01:01 xs-files systemd: kreiran isječak user-0.slice. 16. listopada 15:01:01 xs-files systemd: Pokretanje user-0.slice. 16. listopada 15:01:01 xs-files systemd: Pokrenuta sesija 14441 korijenskog korisnika. 16. listopada 15:01:01 xs-files systemd: Pokretanje sesije 14441 root korisnika. 16. listopad 15:01:01 xs-files systemd: Pokrenuta sesija 14442 korijenskog korisnika. 16. listopada 15:01:01 xs-files systemd: Pokretanje sesije 14442 root korisnika. 16. listopada 15:01:01 xs-files systemd: Uklonjen isječak user-0.slice. 16. listopada 15:01:01 xs-files systemd: Zaustavljanje user-0.slice. 16. listopad 16:01:01 xs-files systemd: kreiran isječak user-0.slice. 16. listopada 16:01:01 xs-files systemd: Pokretanje user-0.slice. 16. listopad 16:01:01 xs-files systemd: Pokrenuta sesija 14443 root korisnika. 16. listopad 16:01:01 xs-files systemd: Pokretanje sesije 14443 root korisnika. 16. listopada 16:01:01 xs-files systemd: Uklonjen isječak user-0.slice.

Nemaju nikakve praktične koristi, pa ih isključimo. Da bismo to učinili, stvorit ćemo zasebno pravilo za rsyslog, gdje ćemo navesti sve predloške poruka koje ćemo izrezati. Smjestimo ovo pravilo u zasebnu datoteku /etc/rsyslog.d/ignore-systemd-session-slice.conf.

# cd /etc/rsyslog.d && mcedit ignore-systemd-session-slice.conf ako $programname == "systemd" i ($msg sadrži "Pokretanje sesije" ili $msg sadrži "Pokrenuta sesija" ili $msg sadrži "Stvoreno odsječak" ili $msg sadrži "Pokretanje korisnika-" ili $msg sadrži "Pokretanje korisničkog odsječka od" ili $msg sadrži "Uklonjena sesija" ili $msg sadrži "Uklonjeni odsječak korisnika odsječak od" ili $msg sadrži "Zaustavljanje korisničkog odsječka od" ) zatim prestanite

Spremite datoteku i ponovno pokrenite rsyslog za primjenu postavki.

# systemctl ponovno pokrenite rsyslog

Potrebno je shvatiti da u u ovom slučaju Onemogućujemo flood u log datoteku samo na lokalnom poslužitelju. Ako zapise pohranjujete na udaljenom poslužitelju syslog-a, tada će ovo pravilo morati biti konfigurirano na njemu.

Instaliranje iftop, atop, htop, lsof na CentOS 7

I na kraju, dodajmo nekoliko korisnih uslužnih programa koji bi mogli dobro doći tijekom rada poslužitelja.

iftop prikazuje učitavanje u stvarnom vremenu mrežno sučelje, može se pokrenuti raznim tipkama, neću se detaljno zadržavati na tome, na internetu postoje informacije o ovoj temi. Stavili smo:

# yum instalirajte iftop

I dva zanimljiva task managera, najčešće koristim htop, ali ponekad mi dobro dođe atop. Instalirajmo oboje, uvjerite se sami, shvatite što vam se najviše sviđa, što vam odgovara:

# yum -y instaliraj htop # yum -y instaliraj na vrh

Ovako izgleda htop:

Za prikaz informacija o tome koje datoteke koriste koji procesi, savjetujem vam da instalirate uslužni program lsof. Najvjerojatnije će vam dobro doći prije ili kasnije kada budete dijagnosticirali poslužitelj.

# yum instalirajte wget bzip2 traceroute gdisk

To je sve za mene. Osnovno postavljanje CentOS 7 je dovršeno, možete započeti s instaliranjem i konfiguriranjem glavne funkcije.

Postavljanje sistemske pošte

Za dovršetak postavljanja CentOS poslužitelji 7 pobrinut ćemo se da se pošta upućena lokalnom korijenu šalje preko vanjskog poslužitelja pošte u odabrani poštanski sandučić. Ako se to ne učini, bit će lokalno prevedeno u datoteku /var/spool/mail/root. A možda postoji i važan korisne informacije. Konfigurirajmo ga za slanje u poštanski sandučić administratora sustava.

Ovdje su samo naredbe i brzo postavljanje. Stavili smo potrebne pakete:

# yum instaliraj mailx cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain

Nacrtajmo nešto poput ove konfiguracije za postfix.

Cat /etc/postfix/main.cf ## DEFAULT CONFIG BEGIN ####################### queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix mail_owner = postfix inet_interfaces = localhost inet_protocols = all unknown_local_recipient_reject_code = 550 alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases debug_peer_level = 2 debugger _command = PATH =/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin / newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix-2.10.1/samples readme_directory = /usr/share / doc/postfix-2.10.1/README_FILES ## DEFAULT CONFIG END ######################## # Naziv poslužitelja kao izlaz naredbe hostname myhostname = centos7- test xs.local # Ovdje, logično, trebate samo napustiti domenu, ali u ovom slučaju bolje je napustiti. puno ime poslužitelj, tako da se puno ime poslužitelja pojavljuje u polju pošiljatelja #, to čini praktičnijim analiziranje servisnih poruka mydomain = centos7-test.xs.local mydestination = $myhostname myorigin = $mydomain # Adresa poslužitelja preko koje ćemo pošalji mail relayhost = mailsrv.mymail.ru :25 smtp_use_tls = da smtp_sasl_auth_enable = da smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_security_level = svibanj

Izrađujemo datoteku s podacima o korisničkom imenu i lozinci za autorizaciju.

# mcedit /etc/postfix/sasl_passwd mailsrv.mymail.ru:25 [e-mail zaštićen]:lozinka

Stvorite db datoteku.

# postmap /etc/postfix/sasl_passwd

Sada možete ponovno pokrenuti postfix i provjeriti radi li.

# systemctl restart postfix

Na standardni alias za root in /etc/aliases, dodajte vanjsku adresu na kojoj će se duplicirati pošta upućena rootu. Da biste to učinili, uredite navedenu datoteku, mijenjajući zadnji redak.

#korijen: marc

Korijen: korijen, [e-mail zaštićen]

Ažuriranje baze certifikata:

#novizapisi

Pošaljimo pismo putem konzole lokalnom korijenu:

# df -h | mail -s "Upotreba diska" root

Pismo treba ići u vanjski poštanski sandučić. Ovo dovršava postavljanje lokalne pošte. Sada će sva pisma upućena lokalnom korijenu, na primjer, izvješća iz crona, biti duplicirana u vanjski poštanski sandučić i poslana putem normalnog poslužitelja pošte. Tako će pisma biti isporučena normalno, bez da završe u spamu (iako ne nužno, postoje i heuristički filteri).

Zaključak

Prošli smo kroz neke početne korake za postavljanje CentOS 7 poslužitelja, što je ono što obično radim kada pripremam poslužitelj. Ne pretvaram se da sam apsolutna istina, možda nešto propuštam ili radim nešto što nije sasvim ispravno. Bit će mi drago razumnim i smislenim komentarima i prijedlozima.

Korisno nakon osnovne postavke odmah spojite poslužitelj na sustav nadzora. Ili ga postavite ako ga već nemate.

Video za postavljanje CentOS 7



POVEZANI ČLANCI