Linux系統(tǒng)服務(wù)器怎么加密

這篇文章將為大家詳細(xì)講解有關(guān)Linux系統(tǒng)服務(wù)器怎么加密，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

基于secWall加密系統(tǒng)不能直接在Linux中加密端口，在做Linux的保密方案時(shí)一般會(huì)選擇設(shè)置一臺(tái)代理服務(wù)器。在代理服務(wù)器上將Linux的服務(wù)端口代理出來，在代理服務(wù)器上做加密設(shè)置即可。

網(wǎng)絡(luò)架構(gòu)圖如下：

一、ssh服務(wù)

1、netsh設(shè)置22端口的轉(zhuǎn)發(fā)服務(wù)

我們的Linux服務(wù)器IP地址是172.16.1.100，Windows代理與辦公網(wǎng)絡(luò)連接的網(wǎng)卡IP是192.168.1.141，另一塊與Linux服務(wù)器連接的網(wǎng)卡IP地址是172.16.1.115。通過netsh設(shè)置端口轉(zhuǎn)發(fā)：

C:> netsh interface portproxy add v4tov4 listenport=22 listenaddress=192.168.1.141 connectport=22 connectaddress=172.16.1.100

22是ssh的服務(wù)端口

設(shè)置轉(zhuǎn)發(fā)后，用戶訪問192.168.1.141機(jī)器的22端口時(shí)會(huì)自動(dòng)轉(zhuǎn)到172.16.1.100的機(jī)器上。

2、設(shè)置連接涉密和端口加密

在客戶端將代理服務(wù)器設(shè)置為可信安全區(qū)域，確?？蛻舳撕头?wù)器之間可以正常通訊。勾選“連接涉密”選項(xiàng)，設(shè)置ssh服務(wù)是涉密的，從這個(gè)服務(wù)獲取 的數(shù)據(jù)會(huì)被自動(dòng)加密（“落地加密”的效果）。

為了防止未安裝加密客戶端的用戶直接連接到服務(wù)器取走機(jī)密數(shù)據(jù)，還需要在服務(wù)器端設(shè)置端口加密。

為服務(wù)器開設(shè)一個(gè)獨(dú)立的加密用戶server，雙擊server用戶選擇高級(jí)設(shè)置，在遠(yuǎn)程管理中將22端口設(shè)置為加密端口。

設(shè)置完成后，服務(wù)器端需要以server用戶登錄加密。這樣，沒有正常登錄加密的客戶端就不能通過ssh訪問服務(wù)器了。

二、svn服務(wù)

1、netsh設(shè)置端口轉(zhuǎn)發(fā)

通過netsh轉(zhuǎn)發(fā)svn服務(wù)的設(shè)置參考網(wǎng)站上的文章《使用secWall端口加密控制IP Helper轉(zhuǎn)發(fā)的Linux SVN服務(wù)》

2、端口加密與客戶端數(shù)據(jù)自動(dòng)加密

參照上文ssh服務(wù)的設(shè)置，將ssh的端口號(hào)改成svn的服務(wù)端口號(hào)即可。

3、將指定的瀏覽器設(shè)置成涉密瀏覽器

有的用戶是通過瀏覽器來訪問svn的，瀏覽器在默認(rèn)設(shè)置中都是隔離應(yīng)用，在svn加密后就無法正常訪問了。需要將指定的瀏覽器設(shè)置為涉密瀏覽器才能訪問。

例：客戶將IE指定為訪問svn專用瀏覽器，chrome瀏覽器是正常訪問外網(wǎng)的。

操作步驟如下：

進(jìn)入集控服務(wù)管理器，選擇“文件”→“編輯安全策略”→“全局策略”→“網(wǎng)絡(luò)應(yīng)用進(jìn)程”→“瀏覽器”，找到IE的進(jìn)程“iexplore.exe”，將其刪除后點(diǎn)擊確定即可。

設(shè)置完成后，IE默認(rèn)就是涉密連接的了，用戶可以用它直接訪問SVN服務(wù)器。

三、ftp/sftp服務(wù)

被動(dòng)式FTP無法通過簡(jiǎn)單代理轉(zhuǎn)發(fā)，如果使用FTP服務(wù)，建議將FTP服務(wù)直接轉(zhuǎn)移到代理服務(wù)器上使用。

1、設(shè)置連接涉密和端口加密

與ssh同樣的方法設(shè)置可信安全區(qū)域和端口加密。

另外需要注意的是，由于大多數(shù)ftp在傳輸數(shù)據(jù)的時(shí)候使用的是動(dòng)態(tài)端口（被動(dòng)式ftp），所以在設(shè)置可信安全區(qū)域的時(shí)候還需要勾選“被動(dòng)連接”選項(xiàng)。被動(dòng)連接指示在主端口建立連接后允許同一目標(biāo)的動(dòng)態(tài)端口連接。

四、Samba服務(wù)

1、netsh設(shè)置端口轉(zhuǎn)發(fā)

C:> netsh interface portproxy add v4tov4 listenport=139 listenaddress=192.168.1.141 connectport=139 connectaddress=172.16.1.100

139是Linux中SAMBA服務(wù)的端口。

注意如果要使用139端口代理，首先要關(guān)閉代理服務(wù)器本身的文件和打印共享服務(wù)，同時(shí)還要關(guān)閉NetBIOS，保證本地139端口不被占用。

SAMBA服務(wù)和別的服務(wù)不同的是不需要設(shè)置可信安全區(qū)域和端口加密，客戶端可以直接加密服務(wù)器上的文件。

如果用戶需要讓上傳到服務(wù)器的文件自動(dòng)解密，則需要在策略中設(shè)置文件系統(tǒng)安全區(qū)域。

進(jìn)入策略編輯后選擇“文件系統(tǒng)安全區(qū)域”，點(diǎn)擊“添加”按鈕輸入共享文件夾路徑后點(diǎn)擊確定即可。

文件系統(tǒng)安全區(qū)域應(yīng)該和端口加密配合使用，代理服務(wù)器上應(yīng)該設(shè)置Samba端口為涉密端口，防止未授權(quán)客戶端直接訪問Samba服務(wù)。

關(guān)于Linux系統(tǒng)服務(wù)器怎么加密就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。