Verder Terug Inhoud

7. Kernel Security

Dit is een beschrijving van de kernel configuratie opties die te maken hebben met security, en een uitleg wat ze doen en hoe ze te gebruiken.

Als de kernel je netwerk op je computer beheerst, is het belangrijk dat het erg veilig is, en dat het niet misbruikt kan worden. Om enkele van laatste netwerk aanvallen tegen te gaan, moet je je kernel versie goed houden. Je vind nieuwe kernels op ftp://ftp.kernel.org of van je distributie leverancier.

7.1 2.0 Kernel Compilatie Opties

Voor 2.0.x kernels, hebben de volgende opties effect. Je moet de opties zijn onder het kernel configuratie proces. Veel van het commentaar is uit ./linux/Documentation/ Configure.help, Dat is dezelfde help als in het make config proces van de kernel.

7.2 2.2 Kernel Compilatie Opties

Voor 2.2.x kernels zijn veel van de opties hetzelfde, maar enkele nieuwe zijn ontwikkeld. Veel van de beschrijvingen komen uit ./linux/Documentation/Configure.help welke dezelfde help is als dir onder het make config proces van het compileren van de kernel. Alleen de nieuwe opties zijn beschreven hieronder. De meest opvallende verandering in de 2.2 kernel is de Ip firewalling code. Het ipchains programma wordt nu gebruikt om de IP firewall code te installeren, ipv het ipfwadm programma gebruikt in de 2.0 kernel.

7.3 Kernel Devices

Er zijn een aantal block en character devices onder Linux die je helpen met je security.

De twee devices /dev/random en /dev/urandom zijn beschikbaar gesteld door de kernel en kunnen je toevallige data geven op elk moment.

Beiden /dev/random en /dev/urandom moet allebij secure genoeg zijn in het gebruik om PGP keys te maken, ssh uitdagingen, en andere applicaties waar secure toevallige nummers nodig zijn. Aan vallers moeten het volgende nummer niet kunnen voorspellen en zo achterhalen welk nummer jij had. Er is veel moeite in gestopt om zeker te weten dat je altijd in een toevallig nummer krijgt zoals het woord zegt.

Het enige verschil is dat /dev/random stop met het geven van toevallig bytes en wacht tot ze zich ophopen. Notitie: Op sommige systemen kan het een lange tijd stil staan wachtend op een nieuwe gebruiker-genereerde invoer die moet worden ingevoerd in de computer. Dus je moet nadenken voordat je /dev/random gebruikt. (Misschien is het beste om het te gebruiken wanneer je een gevoelige sleutel genereert, en de gebruiker op het keyboard laat typen totdat je print "Ok, genoeg".)

/dev/random is hoge kwaliteit entropie, gegenereerd door het meten van inter-interrupt tijden etc. Het blokkeert totdat er genoeg bits toevallige dat is.

/dev/urandom is het hetzelfde, maar wanneer de uitrusting van entropie laag begint te worden, zal het een versleutelde sterke hash geven van wat er is. Dit is niet secure, maar het is genoeg voor de meeste applicaties.

Je kan lezen van de devices door het gebruik als dit:

        root# head -c 6 /dev/urandom | mmencode
Dit print zes toevallig karakters op het console, goed voor pas-woord generatie. Je vind mmencode in het metamail package.

Zie /usr/src/linux/drivers/char/random.c voor een beschrijving van het algoritme.

Dank aan Theodore Y. Ts'o, Jon Lewis, en andere van de Linux-kernel voor het helpen van mij (Dave) met dit.


Verder Terug Inhoud