有关SELinux 的内容已基本讲述完毕，剩下的就是靠大家自己学习了，也希望多多交流。最后，做个简洁的章节和相关命令索引，以便查询。

    整理汇总后的完整版本：SELinux 简明学习指南

51CTO 下载：点击
新浪爱问 下载：点击

    由于安全意识不足，导致机器被入侵的例子多不胜数。最近不断接到有服务器被入侵，执行文件被修改的报障。原因大多都是因为开放了SSH服务，同时允许root访问，密码又过于简单的情况。为提出更有效的防范办法，决定做个攻击模拟。以下使用的工具是relaxsan，从网上可以很方便的找到，为免影响不好，我这里就不提供了，仅做个攻击演示。

    把服务器挂上公网，不可避免的有病毒或无聊的人会尝试攻击SSH。DenyHosts 就是通过分析secure日志，把满足一定要求的IP记录到/etc/hosts.deny中，达到屏蔽这些有害IP的目的。

    OpenVPN还是相当方便的VPN工具，Win7下的使用与XP基本相同，但有两点是需要注意的。

    插入式验证模块（Pluggable Authentication Module，PAM）API 将公开一组功能，应用程序程序员可以使用这些功能来实现与安全性相关的功能，例如用户验证、数据加密、LDAP 等。

    前段时间（准确来说，应该是2009年4月24日），Linux的udev程序爆出本地提权漏洞，本地用户可以轻易获得root权限，经测试，漏洞影响红旗 Asianux 3.0 标准版和SP1 的各版本，但对DC Server 5.0没有影响。对应平台的朋友，请立即更新udev程序。

      因为root用户对系统具有全权的操作权限，为了避免一些失误的操作，建议在一般情况下，以一般用户登录系统，必要的时候需要root操作权限时，再通过“su -”命令来登录为root用户进行操作。
      在 一般情况下，一般用户通过执行“su -”命令、输入正确的root密码，可以登录为root用户来对系统进行管理员级别的配置。但是，为了更进一步加强系统的安全性，有必要建立一个管理员的组，只允许这个组的用户来执行“su -”命令登录为root用户，而让其他组的用户即使执行“su -”、输入了正确的root密码，也无法登录为root用户。在UNIX下，这个组的名称通常为“wheel”。

sudo工具能够帮你把一部分系统管理的责任分摊给其他人，还不用给出完全的root访问权限。它是一个setuid程序，只需要输入用户自己的密码，就可以执行sudo后面的命令。

    整理资料时，从旧文档中找到的一幅，关于iptables对数据包进行处理的流程图，供大家参考：

   使用p2p软件下载的客户端会建立了很多的tcp连接，导致网关负载太重，上网速度很慢。而iptables的connlimit模块，可以限制用户的tcp连接数，以下是给iptables加载模块的步骤和过程。

一、系统平台

系统自带的iptalbes版本为1.2.1，版本太低，加载connlimit补丁很麻烦。为保持较好的兼容性，我决定使用Asianux 3.0上的1.3.5版本。

   前面两篇日志都是为了做使用IMQ设备的准备。因为IMQ模块并没有包括在标准核心中，所以，需要我们另行编译。而这今天的日志中，我用一个几乎是最简单的例子，来说明如何使用IMQ设备模块。其中使用到tc的相关知识，如果您还不知道该怎么做，请先回头看看前几天的日志，否则会有点不知所云的。

   OpenSSL是使用非常广泛的 SSL 的开源实现。由于其中实现了为SSL 所用的各种加密算法，因此OpenSSL也是被广泛使用的加密函数库。SSL/TLS 协议位于 TCP 协议和应用层协议之间，为传输双方提供认证、加密和完整性保护等安全服务。SSL作为一个协议框架，通信双方可以选用合适的对称算法、公钥算法、MAC 算法等密码算法实现安全服务。在Linux环境中，除可以使用OpenSSL提供的各种加密函数库外，还能利用其应用程序实现许多重要的功能。以下内容翻译自：OpenSSL Command-Line HOWTO