Creando una clave gpg. Cómo exportar su clave pública. Preparativos para el trabajo

Creando una clave gpg. Cómo exportar su clave pública. Preparativos para el trabajo

Si desea utilizar las mismas claves públicas y privadas que tiene en otra computadora, simplemente cópielas de la otra computadora a la nueva. Si ya ha creado alguna clave, decida si la reescribirá en la nueva computadora, ya que esta puede ser la decisión correcta. Usé las mismas llaves durante años, simplemente copiándolas de un auto a otro y eso fue suficiente. A continuación se muestra cómo utilizar el comando. scp copiar llaves de un auto viejo con un nombre eliot.

$ mkdir ~/.gnupg

$ scp eliot:~/.gnupg/* ~/.gnupg

También puede importar claves, que se agregarán al almacén de claves que ya existe en la computadora actual (en lugar de reemplazar las claves existentes, como en el caso anterior). Para hacer esto, naturalmente necesitarás llaves. Puede copiarlos desde otra computadora a la suya u obtener claves públicas de un servidor en la red. Si las claves están en otra computadora, cópielas a su computadora Ubuntu, colóquelas temporalmente en su escritorio y luego ejecute el siguiente comando:

$ gpg --importar /home/nombre de usuario /Desktop/pubring.gpg

Verá una lista de claves que se importaron y un mensaje de resumen que indica que se completó correctamente. No olvides eliminar el archivo. pubring.gpg desde tu escritorio ya que ya no lo necesitas.

Si las claves no están disponibles directamente para usted, pero sabe que los usuarios cuyas claves desea importar las han subido al servidor, siempre puede importarlas desde allí. Por ejemplo, digamos que desea importar mi clave. Primero, necesitas encontrar mi ID de clave. Usando un navegador web, vaya a http://pgp.mit.edu al servidor de clave pública PGP del MIT y busque Scott Granneman ( Scott Granneman). Obtendrá tres resultados, pero tenga en cuenta el de fecha 08/08/2004, que se parece a esto:

Tipo bits /keyID Fecha ID de usuario

pub 1024D/6503F88C 2004/08/08 Scott Granneman

Scott Granneman (www.granneman.com)

Tenga en cuenta el ID de clave que importa 6503F88C. Con él, puedes importar una clave específica usando el siguiente comando:

$ gpg --keyserver pgp.mit.edu --recv-keys 6503F88C

gpg: solicitando la clave 6503F88C del servidor hkp pgp.mit.edu

gpg: clave 6503F88C: clave pública "Scott Granneman" importada

gpg: Número total procesado: 1

gpg: importado: 1

Trabajo práctico nº 26. Cifrado con Windows XP

1 Propósito del trabajo

Adquirir habilidades para trabajar con cifrado usando Windows XP

2 orden de trabajo

2. Realice el cifrado en la VM usando Windows XP

3. Completar un informe que debe contener:

    página de título (ver apéndice);

    planteamiento del problema;

Descripción de la ejecución paso a paso;

    informe sobre los resultados obtenidos

3. Tareas de trabajo.

Cifrado

Una característica de Windows 2000 es la capacidad de cifrar archivos almacenados en su disco duro. Un sistema de codificación de archivos proporciona un mayor nivel de protección para los archivos contra el acceso no autorizado; sin embargo, antes de comenzar a utilizar este sistema, debe comprender cómo funciona; de lo contrario, puede tener problemas. Para habilitar el sistema de cifrado de archivos, debe abrir la página de propiedades de un archivo o directorio, hacer clic en el botón Avanzado y marcar la casilla Cifrar contenido para proteger los datos (Fig. 5.2.5).

Windows 2000 también admite un atributo que le permite controlar el servicio de indexación.

Si ha seleccionado la casilla Cifrar contenido para un directorio, el sistema cifrará todos los archivos contenidos en ese directorio. Se utiliza un algoritmo para cifrar el contenido del archivo. cerrado clave (secreta). A diferencia de los algoritmos de clave pública, el algoritmo de clave privada funciona mucho más rápido, lo que lo hace adecuado para cifrar grandes cantidades de información. Sin embargo, el algoritmo de clave privada supone que se utiliza la misma clave para codificar y decodificar los datos. ^Esta clave única se genera automáticamente y debe mantenerse en secreto. Surge la pregunta: ¿cómo debemos garantizar el almacenamiento y la transmisión seguros de esta clave? En sistemas que utilizan clave pública, el problema se resuelve de manera muy simple: se usa una clave para codificar datos y otra para decodificarlos. La clave de codificación puede estar disponible para todos, mientras que la clave de decodificación debe mantenerse en secreto.

Los desarrolladores de NTFS resolvieron el problema de la siguiente manera: se utiliza un algoritmo de clave privada para codificar el contenido del archivo y un algoritmo de clave privada para almacenar el archivo en sí. clave secreta Se utiliza un algoritmo de clave pública. Este esquema a menudo se denomina con el término inglés caja de seguridad(caja con cerradura). La clave privada se cifra utilizando la clave pública del usuario. Para decodificarlo es necesario conocer la clave privada del usuario. Por lo tanto, un archivo grande se cifra utilizando un algoritmo de clave privada rápido y eficiente, y se utiliza un algoritmo de clave pública más complejo y lento para proteger la clave secreta en sí (que es de tamaño pequeño).

Windows 2000 utiliza certificados X509 para intercambiar claves públicas. La especificación X509 está diseñada para generar y transmitir declaraciones del formato: "Esta clave pública pertenece a esta entidad y puede usarse para estos fines". Se puede obtener un certificado contactando a una autoridad de certificación especial (Autoridad de Certificación), que, al emitir un certificado, lo firma mediante una firma digital. La entidad que recibe el certificado puede estar seguro de que el certificado realmente contiene una clave que puede usarse para cifrar cierta información dirigida a un usuario en particular (por ejemplo, un correo electrónico dirigido al usuario John Doe). Esta confianza se basa en el hecho de que el certificado se obtiene de una autoridad certificadora.

Para ver los certificados instalados para los usuarios, debe cargar el complemento Certificados en Microsoft Management Console.

El sistema de archivos de codificación EFS (Encrypting File System) pasa desapercibido para los usuarios. Recibe un certificado X509 autorizado para EFS. Si el usuario no tiene un certificado, EFS crea uno.

Certificado de recuperación de archivos

Cuando inicie sesión como administrador y abra la consola de Certificados, verá que esta cuenta tiene un certificado personalizado asociado con la recuperación de archivos. Una copia de este certificado también se almacena en la política de seguridad local. EFS utiliza la clave pública de este certificado para crear una caja de seguridad adicional (una copia cifrada de la clave privada).

Usando la consola de Certificados, puede exportar este certificado y clave privada a un archivo (en otras palabras, cree una copia de seguridad del certificado). Después de esto, se pueden eliminar tanto el certificado como la clave privada. Esto significa que si un atacante de alguna manera puede conectarse ||:1: al sistema como agente de recuperación, aún no podrá descifrar £:;

cualquier archivo cifrado, ya que los certificados necesarios para el descifrado no estarán entre los certificados. Para descifrar cualquier archivo, debe reinstalar el certificado requerido en el sistema. Si: Tiene la intención de utilizar el procedimiento descrito por motivos de seguridad (especialmente relevante para controladores de dominio), debe tener cuidado de almacenar de forma segura los certificados exportados.Trabajo práctico nº 27. Las claves más importantes registro de windowsnecesitado de protección. Protección de colmenaSamY

SEGURIDAD Tengo un servidor CentOS 7 recién instalado en VDS con Virtualización KVM . Hablaré sobre cómo realizar la configuración básica del servidor para usarlo en cualquier capacidad a su discreción. Podría ser un servidor web, un servidor VPN o un servidor de monitoreo. hablaré de configuración inicial

Sistemas CentOS, que aumentan la seguridad y facilidad de uso del servidor. Observo que en la séptima versión del sistema ha habido algunos cambios en comparación con las versiones anteriores.

Introducción Una vez más, tenga en cuenta que realizo estos ajustes en servidor virtual . Si tiene un servidor de hardware, se recomienda realizar algunas configuraciones más que no menciono aquí. Estos incluyen, por ejemplo, configurar y verificar la tolerancia a fallas cuando falla uno de los discos. Cerrar controles regulares

matriz mdadm, etc.

Configuración inicial de CentOS 7

Entonces, tenemos: # uname -a Linux zeroxzed.ru 3.10.0-123.20.1.el7.x86_64 #1 SMP Jue 29 de enero 18:05:33 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux Primero que nada, actualicemos.:

sistema básico

# mmm actualización

Para facilitar la administración, siempre instalo Midnight Commander, o simplemente mc:

# yum instalar mc E inmediatamente activo el resaltado de sintaxis para todos los archivos que no están designados explícitamente en el archivo./usr/share/mc/syntax/Sintaxis sintaxis para sh y scripts de bash . Esta sintaxis universal funciona bien para archivos de configuración , con el que sueles trabajar en el servidor. Sobrescribiendo el archivo sintaxis.desconocida

. Este es el patrón que se aplicará a los archivos .conf y .cf, ya que no tienen una sintaxis explícita.

#ifconfig

Y verás la respuesta:

Bash: ifconfig: comando no encontrado

Al menos cuando lo vi por primera vez, me sorprendió bastante. Pensé que había cometido un error al escribir el comando, verifiqué todo varias veces, pero fue en vano. Resultó que necesitaba instalar por separado un paquete para ejecutar ifconfig y otras utilidades de red.

En lugar de ifconfig en CentOS 7 ahora hay una utilidad IP. No entiendo por qué regañar programas individuales para administrar la configuración de red, si ifconfig ya hace un gran trabajo. Además, siempre me gustó que en diferentes distribuciones de Linux todo es aproximadamente igual. Usando ifconfig puedes configurar la red no solo en Linux, sino también en freebsd. Es conveniente. Y cuando cada distribución tiene su propia herramienta, esto resulta un inconveniente. Así que sugiero instalar el ifconfig habitual.

Hagamos esto:

# yum instala net-tools

Ahora, para que funcionen los comandos nslookup o, por ejemplo, host, necesitamos instalar el paquete bind-utils. Si esto no se hace, utilice el comando:

#nslookup

La salida será:

Bash: nslookup: comando no encontrado

Entonces instalemos bind-utils:

# yum instala bind-utils

Deshabilite SELinux. Su uso y configuración es un asunto aparte. No haré esto ahora. Así que apagámoslo:

#mcedit /etc/sysconfig/selinux

cambiar el valor
SELINUX=deshabilitado
Para que los cambios surtan efecto, reinicie:

# reiniciar

Puede desactivar SElinux sin reiniciar:

#setenforce 0

Especificación de parámetros de red

Ahora configuremos la red en CentOS. Para hacer esto, abra el archivo /etc/sysconfig/network-scripts/ifcfg-eth0

# medit /etc/sysconfig/network-scripts/ifcfg-eth0

En el campo IPADDR introducimos tu dirección, en NETMASK la máscara de red, en GATEWAY la puerta de enlace, dirección DNS1 del servidor dns. Guarde el archivo y reinicie la red para aplicar la configuración:

# /etc/init.d/reinicio de red

Configurar un cortafuegos

Ahora configuraremos rápida y fácilmente un firewall. En CentOS 7, iptables actúa como firewall. Por defecto está en ejecución. Para ver las reglas actuales, debe ingresar el comando:

# iptables -L -v -n

Me gustaría advertirle de inmediato que sin tener acceso a la consola del servidor, configurar un firewall mala idea. Incluso si comprende muy bien lo que está haciendo y lo ha hecho muchas veces, todavía existe la posibilidad de quedarse sin acceso al servidor. Entonces, lo primero antes de configurar iptables es verificar el acceso a la consola vía KVM o físicamente.

En la 7ª versión de CentOS se ha desarrollado una nueva herramienta llamada firewalld para gestionar iptables y toda la gestión se realiza a través de ella. No entendí por qué lo hicieron y no puedo decir si fue más conveniente o no. Para mí es más conveniente utilizar los mismos desarrollos de iptables. Al migrar de un servidor a otro y de una distribución a otra, simplemente edito el script de configuración del firewall.

Pero por alguna razón a CentOS se le ocurrió firewalld, Ubuntu tiene ufw, pero la esencia es la misma: estas son utilidades para configurar iptables, que es la misma en todas las distribuciones. Estoy acostumbrado a administrar iptables a través de un script escrito por mí mismo, que transfiero de un servidor a otro y lo edito para adaptarlo a necesidades específicas. Compartiré este guión. Primero, detengamos y deshabilitemos firewalld:

# systemctl stop firewalld # systemctl deshabilitar firewalld rm "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service" rm "/etc/systemd/system/basic.target.wants/firewalld.service"

Instalemos utilidades para iptables:

# yum -y instalar servicios-iptables

Habilitemos el inicio automático de iptables:

# systemctl habilita iptables

Ahora creemos un archivo /etc/iptables_rules.sh con el siguiente contenido:

#!/bin/bash # # Declaración de variables export IPT="iptables" # Interfaz que mira Internet export WAN=eth0 export WAN_IP=149.154.71.205 # Borrar todas las cadenas de iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X # Establece políticas predeterminadas para el tráfico que no coincide con ninguna de las reglas $IPT -P INPUT DROP $IPT -P OUTPUT DROP $ IPT -P FORWARD DROP # permitir tráfico local para loopback $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # Permitir conexiones salientes desde el propio servidor $IPT -A OUTPUT -o $WAN -j ACCEPT # El estado ESTABLECIDO indica que este no es el primer paquete en la conexión. # Saltar todas las conexiones ya iniciadas, así como sus hijos $IPT -A INPUT -p all -m estado --estado ESTABLECIDO, RELACIONADO -j ACCEPT # Omitir conexiones nuevas, así como las ya iniciadas y sus hijos $IPT -A SALIDA -p todo -m estado --state ESTABLECIDO, RELACIONADO -j ACCEPT # Permitir el reenvío de conexiones ya iniciadas y sus hijos $ IPT -A ADELANTE -p todo -m estado --estado ESTABLECIDO, RELACIONADO -j ACEPTAR # Habilitar la fragmentación de paquetes. Necesario debido a diferentes significados MTU $IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # Elimina todos los paquetes que no pueden identificarse # y por lo tanto no pueden tener un estado definido. $IPT -A INPUT -m estado --state INVALID -j DROP $IPT -A FORWARD -m estado --state INVALID -j DROP # Causas de enlace recursos del sistema, para que el # intercambio de datos real sea imposible, corte $IPT -A INPUT -p tcp ! --syn -m estado --state NUEVO -j DROP $IPT -A SALIDA -p tcp ! --syn -m state --state NEW -j DROP # Permitir pings $IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT $IPT -A INPUT -p icmp --icmp-type destino- inalcanzable -j ACEPTAR $IPT -A ENTRADA -p icmp --icmp-type tiempo-excedido -j ACEPTAR $IPT -A ENTRADA -p icmp --icmp-type echo-request -j ACEPTAR # Abrir el puerto para ssh $IPT - A ENTRADA -i $WAN -p tcp --dport 22 -j ACEPTAR # Abrir el puerto para DNS #$IPT -A ENTRADA -i $WAN -p udp --dport 53 -j ACEPTAR # Abrir el puerto para NTP # $IPT - A INPUT -i $WAN -p udp --dport 123 -j ACCEPT # Logging # Todo lo que no está permitido pero se interrumpe se enviará a la cadena undef $IPT -N undef_in $IPT -N undef_out $IPT -N undef_fw $IPT -A ENTRADA -j undef_in $IPT -A SALIDA -j undef_out $IPT -A FORWARD -j undef_fw # Registrar todo desde undef $IPT -A undef_in -j LOG --log-level info --log-prefix " -- IN -- DROP " $IPT -A undef_in -j DROP $IPT -A undef_out -j LOG --log-level info --log-prefix "-- OUT -- DROP " $IPT -A undef_out -j DROP $IPT -A undef_fw - j LOG --log-level info --log-prefix "-- FW -- DROP " $IPT -A undef_fw -j DROP # Escribir reglas /sbin/iptables-save > /etc/sysconfig/ iptables

En principio, no hay nada que añadir; todos los comentarios se encuentran en el expediente. De esta forma, los registros de todo lo bloqueado se escribirán en el archivo /var/log/messages y habrá muchas entradas allí. Entonces, en el trabajo normal, estas líneas deben comentarse y usarse solo durante la depuración. Más descripción detallada reglas y ejemplos configuración del cortafuegos En el caso de que su servidor sea una puerta de enlace de red local, consulte el enlace al principio de la sección.

Haga ejecutable el archivo con las reglas y ejecútelo:

# chmod 0740 /etc/iptables_rules.sh # /etc/iptables_rules.sh

Comprobemos si se aplican las reglas:

# iptables -L -v -n

Cada vez que ejecuta el archivo de reglas iptables, todos los cambios se escriben en el archivo /etc/sysconfig/iptables y se aplican cuando se inicia el sistema.

Configurar SSH en CentOS 7

A continuación haremos algunos cambios en el funcionamiento de ssh para aumentar la seguridad. De forma predeterminada, el servicio se ejecuta en el puerto 22 y, si dejamos todo como está, obtendremos una gran cantidad de intentos de inicio de sesión. Los bots escanean continuamente Internet y seleccionan contraseñas ssh. Para protegerse de los análisis de robots simples, cambiemos el puerto en el que se ejecuta ssh. Puedes elegir cualquier número de cinco dígitos, no importa. Esto lo protegerá del escaneo automático. Colguemos el demonio ssh en el puerto 25333. Para hacer esto, edite el archivo /etc/ssh/sshd_config

#mcedit /etc/ssh/sshd_config

Descomentemos la línea Puerto 22 y reemplacemos el valor 22 con 25333.
También suelo permitir que el usuario root se conecte a través de ssh. Es más conveniente para mí. Nunca he tenido ningún problema con esto. Si no cree que sea seguro, no toque esta configuración. Para permitir que el usuario root se conecte a través de ssh, descomente la línea PermitRootLogin sí.

Guarde el archivo. Ahora definitivamente cambiaremos. configuración de iptables, agregue el puerto 25333 a las conexiones permitidas en lugar de 22. Si esto no se hace, luego de reiniciar sshd perderemos acceso remoto al servidor. Entonces, abra /etc/iptables_rules.sh y cambie la línea

$IPT -A ENTRADA -i $WAN -p tcp --dport 22 -j ACEPTAR

22 a 25333 y ejecute el archivo. Nuestra conexión actual no se verá interrumpida, ya que ya se ha establecido, pero no será posible reconectarnos vía ssh al puerto 22.

Reiniciar sshd:

# systemctl reiniciar sshd

Compruebe qué puerto está escuchando sshd:

#netstat-tulpn | grep sshd tcp 0 0 0.0.0.0:25333 0.0.0.0:* ESCUCHAR 1799/sshd tcp6 0 0:::25333:::* ESCUCHAR 1799/sshd

Si la salida es la misma que la mía, entonces todo está bien, ahora puedes conectarte a ssh a través del puerto 25333.

Agreguemos una configuración pequeña más. A veces, cuando surgen problemas con servidor DNS, el inicio de sesión ssh se congela durante 30 a 60 segundos. Simplemente espere después de ingresar su nombre de usuario para tener la oportunidad de ingresar una contraseña. Para evitar esta desaceleración, le decimos a ssh que no use dns en su trabajo. Para hacer esto, en la configuración, descomente la línea con el parámetro UseDNS y desactívela. Por defecto está habilitado.

UsarDNS no

Para aplicar los cambios, debe reiniciar el servicio ssh, como hicimos anteriormente.

Establecer la hora

Puede averiguar qué hora es en el servidor usando el comando de fecha:

Para cambiar la zona horaria, debe seleccionar el archivo de zona horaria apropiado en /usr/share/zoneinfo. Si su zona horaria es Moscú, haga lo siguiente:

# mv /etc/localtime /etc/localtime.bak # ln -s /usr/share/zoneinfo/Europe/Moscow /etc/localtime

O puedes usar utilidad especial, que se incluye con CentOS 7. Hace exactamente lo mismo:

# timedatectl set-timezone Europa/Moscú

CentOS 7 tiene una utilidad de sincronización horaria crono. EN instalación estándar se debe instalar en el sistema, no en el mínimo. Si no lo tienes, instálalo manualmente:

# yum instalar chrony

Inicie chrony y agréguelo al inicio:

# systemctl iniciar chronyd # systemctl habilitar chronyd

Comprobemos si empezó normalmente:

# systemctl status chronyd ● chronyd.service - Cliente/servidor NTP Cargado: cargado (/usr/lib/systemd/system/chronyd.service; habilitado; preestablecido del proveedor: habilitado) Activo: activo (en ejecución) desde el viernes 05/08/2016 00:33:09 MSK; Quedan 52 minutos PID principal: 667 (chronyd) CGroup: /system.slice/chronyd.service └─667 /usr/sbin/chronyd 05 de agosto 00:33:09 centos.local systemd: Iniciando cliente/servidor NTP... 05 de agosto 00:33:09 centos.local chronyd: versión 2.1.1 de chronyd iniciando (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +DEBUG +ASYNCDNS +IPV6 +SECHASH) 05 de agosto 00:33:09 centos.local chronyd: clave generada 1 de agosto de 2005, 00:33:09 centos.local systemd: cliente/servidor NTP iniciado. 05 de agosto 00:33:26 centos.local chronyd: fuente seleccionada 85.21.78.91 05 de agosto 00:33:26 centos.local chronyd: reloj del sistema incorrecto en -3595.761368 segundos, el ajuste comenzó el 4 de agosto 23:33:30 centos.local chronyd : El reloj del sistema avanzó -3595,761368 segundos

Todo está bien, el servicio está funcionando. Una vez iniciado, sincroniza automáticamente la hora.

Para sincronizar la hora, puede utilizar un programa más familiar, que está presente en casi todas las distribuciones de Unix: ntp. Instale la utilidad de sincronización de hora ntp en CentOS:

# yum instalar ntp

Sincronicemos la hora una vez:

# /usr/sbin/ntpdate pool.ntp.org

Si ntpdate no funciona mira el material, quizás este sea tu caso. Iniciemos el demonio de sincronización y registremos su inicio al inicio:

# systemctl start ntpd # systemctl enable ntpd ln -s "/usr/lib/systemd/system/ntpd.service" "/etc/systemd/system/multi-user.target.wants/ntpd.service"

Ahora nuestro reloj se sincronizará automáticamente con el servidor de hora.

No utilice ambos demonios de sincronización horaria (chrony y ntp) al mismo tiempo. Elige uno. Personalmente, no veo ninguna diferencia entre ellos; suelo utilizar el ntp habitual.

Agregar repositorios

Para instalar varios programas, necesita conectar repositorios en CentOS. Los más populares son EPEL y rpmforge, así que agréguemoslos. Primero instalamos EPEL. Con él todo es simple, se agrega desde el repositorio estándar:

# yum instala epel-release

Instalar rpmforge:

# rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt # yum install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1 .el7.rf.x86_64.rpm

# yum install http://repository.it4i.cz/mirrors/repoforge/redhat/el7/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm

Configurar el almacenamiento del historial en bash_history

Será útil realizar algunos cambios en el mecanismo estándar para guardar el historial de comandos. A menudo resulta útil recordar uno de los comandos introducidos anteriormente. La configuración estándar tiene algunas limitaciones que resultan incómodas. Aquí está su lista:

  1. De forma predeterminada, sólo se guardan los últimos 1000 comandos. Si hay más, los más antiguos se eliminarán y se reemplazarán por otros nuevos.
  2. No hay fechas de ejecución para los comandos, sólo una lista de ellos en orden de ejecución.
  3. El archivo de lista de comandos se actualiza una vez finalizada la sesión. Durante sesiones paralelas, es posible que se pierdan algunos comandos.
  4. Se guardan absolutamente todos los comandos, aunque algunos no tienen sentido.

Una lista de los comandos ejecutados más recientemente se almacena en directorio de inicio usuario en el archivo .bash_history(punto al principio). Puedes abrirlo con cualquier editor y verlo. Para mostrar la lista de manera más conveniente, puede ingresar el comando en la consola:

#historia

y ver una lista numerada. Puede encontrar rápidamente un comando específico filtrando solo las líneas necesarias, por ejemplo así:

#historia | grep mmm

Entonces veremos todas las opciones de lanzamiento. comandos mmm, que se almacenan en el historial. Corregiremos las deficiencias enumeradas. configuración estándar almacenar el historial de comandos en CentOS 7. Para hacer esto, necesita editar el archivo .bashrc, que se encuentra en el mismo directorio que el archivo histórico. Agregue las siguientes líneas:

Exportar HISTSIZE=10000 exportar HISTTIMEFORMAT="%h %d %H:%M:%S " PROMPT_COMMAND="historia -a" exportar HISTIGNORE="ls:ll:history:w:htop"

La primera opción aumenta el tamaño del archivo a 10.000 líneas. Puedes hacer más, aunque este tamaño suele ser suficiente. El segundo parámetro especifica que se deben almacenar la fecha y hora en que se ejecutó el comando. La tercera línea obliga inmediatamente después de ejecutar el comando a guardarlo en el historial. En la última línea creamos una lista de excepciones para aquellos comandos que no necesitan registrarse en el historial. di un ejemplo de mi mismo lista simple. Puedes agregarlo a tu discreción.

Para aplicar los cambios, debe cerrar sesión y conectarse nuevamente o ejecutar el comando:

# fuente ~/.bashrc

Actualización automática del sistema

Para mantener la seguridad del servidor en el nivel adecuado, es necesario al menos actualizarlo de manera oportuna, como el propio kernel con utilidades del sistema, así como otros paquetes. Puedes hacer esto manualmente, pero para más trabajo eficiente mejor automatizar actividades rutinarias. No es necesario instalar las actualizaciones automáticamente, pero al menos comprobarlas. Normalmente sigo esta estrategia.

Para verificación automática la utilidad nos ayudará a actualizar yum-cron. Se instala tradicionalmente a través de yum desde el repositorio estándar.

# yum instala yum-cron

Después de la instalación se crea. tarea automática para ejecutar la utilidad en /etc/cron.daily Y /etc/cron.horaly. De forma predeterminada, la utilidad descarga las actualizaciones encontradas, pero no las aplica. En cambio, el administrador local buzón La notificación de actualizaciones se envía a la raíz. Entonces ya estás dentro modo manual entre y decida si desea instalar actualizaciones o no en el momento que más le convenga. Considero que este modo de funcionamiento es el más conveniente, por lo que no cambio esta configuración.

Los archivos de configuración de yum-cron se encuentran en /etc/yum/yum-cron.conf Y yum-cron-hourly.conf. Están bien comentados, por lo que en explicaciones detalladas no lo necesito. Llamo su atención sobre la sección. , donde puede especificar parámetros para enviar mensajes. De forma predeterminada, el correo se envía a través del servidor local. Puede cambiar la configuración aquí y enviar mensajes a través de un servidor de correo de terceros. Pero en cambio, personalmente prefiero configurar globalmente todo el servidor para reenviar el correo raíz local a un buzón externo mediante autorización en otro servidor SMTP.

Deshabilitar la inundación de mensajes en /var/log/messages

En la instalación predeterminada del sistema CentOS 7, todo el registro del sistema /var/log/mensajes Después de un tiempo, el servidor se obstruirá con los siguientes registros.

16 de octubre 14:01:01 xs-files systemd: segmento creado usuario-0.slice. 16 de octubre 14:01:01 xs-files systemd: iniciando usuario-0.slice. 16 de octubre 14:01:01 xs-files systemd: Se inició la sesión 14440 del usuario root. 16 de octubre 14:01:01 xs-files systemd: iniciando la sesión 14440 del usuario root. 16 de octubre 14:01:01 xs-files systemd: Se eliminó el segmento user-0.slice. 16 de octubre 14:01:01 xs-files systemd: Deteniendo user-0.slice. 16 de octubre 15:01:01 xs-files systemd: segmento creado usuario-0.slice. 16 de octubre 15:01:01 xs-files systemd: iniciando usuario-0.slice. 16 de octubre 15:01:01 xs-files systemd: Se inició la sesión 14441 del usuario root. 16 de octubre 15:01:01 xs-files systemd: iniciando la sesión 14441 del usuario root. 16 de octubre 15:01:01 xs-files systemd: Se inició la sesión 14442 del usuario root. 16 de octubre 15:01:01 xs-files systemd: iniciando la sesión 14442 del usuario root. 16 de octubre 15:01:01 xs-files systemd: Se eliminó el segmento user-0.slice. 16 de octubre 15:01:01 xs-files systemd: Deteniendo usuario-0.slice. 16 de octubre 16:01:01 xs-files systemd: segmento creado usuario-0.slice. 16 de octubre 16:01:01 xs-files systemd: iniciando usuario-0.slice. 16 de octubre 16:01:01 xs-files systemd: Se inició la sesión 14443 del usuario root. 16 de octubre 16:01:01 xs-files systemd: iniciando la sesión 14443 del usuario root. 16 de octubre 16:01:01 xs-files systemd: Se eliminó el segmento user-0.slice.

No tienen ningún uso práctico, así que apagémoslos. Para hacer esto, crearemos una regla separada para rsyslog, donde enumeraremos todas las plantillas de mensajes que cortaremos. Coloquemos esta regla en archivo separado /etc/rsyslog.d/ignore-systemd-session-slice.conf.

# cd /etc/rsyslog.d && mcedit ignore-systemd-session-slice.conf si $programname == "systemd" y ($msg contiene "Sesión inicial" o $msg contiene "Sesión iniciada" o $msg contiene "Creada segmento" o $msg contiene "Usuario inicial-" o $msg contiene "Usuario inicial segmento de" o $msg contiene "Sesión eliminada" o $msg contiene "Sector eliminado usuario de segmento de" o $msg contiene "Detener usuario segmento de" ) luego deténgase

Guarde el archivo y reinicie rsyslog para aplicar la configuración.

# systemctl reinicia rsyslog

Es necesario entender que en en este caso deshabilitamos la inundación en el archivo de registro solo para servidor local. Si almacena registros en un servidor syslog remoto, entonces esta regla deberá configurarlo en él.

Instalación de iftop, atop, htop, lsof en CentOS 7

Y finalmente, agreguemos algunos utilidades útiles, que puede resultar útil durante el funcionamiento del servidor.

iftop muestra carga en tiempo real interfaz de red, se puede iniciar con varias claves, no me detendré en esto en detalle, hay información sobre este tema en Internet. Ponemos:

# yum instalar iftop

Y dos administradores de tareas interesantes. Yo uso con mayor frecuencia htop, pero a veces atop me resulta útil. Instalemos ambos, compruébelo usted mismo, descubra qué le gusta más y qué le conviene:

# yum -y instalar htop # yum -y instalar encima

Así es como se ve htop:

Para mostrar información sobre qué archivos utilizan qué procesos, le recomiendo que instale la utilidad lsof. Lo más probable es que tarde o temprano le resulte útil cuando diagnostique el servidor.

# yum instala wget bzip2 traceroute gdisk

Eso es todo para mí. La configuración básica de CentOS 7 está completa, puede comenzar a instalar y configurar la funcionalidad principal.

Configurar el correo del sistema

Para terminar de configurar el servidor CentOS 7, asegurémonos de que el correo dirigido a la raíz local se envíe a través de un servidor de correo externo al buzón seleccionado. Si no se hace esto, se compilará localmente en un archivo. /var/spool/correo/raíz. Y puede haber una importante información útil. Configurémoslo para que se envíe al buzón del administrador del sistema.

Estos son solo los comandos y la configuración rápida. ponemos paquetes requeridos:

# yum instalar mailx cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain

Dibujemos algo como esta configuración para postfix.

Cat /etc/postfix/main.cf ## COMIENZO DE CONFIGURACIÓN PREDETERMINADA ####################### queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix mail_owner = postfix inet_interfaces = localhost inet_protocols = todos desconocido_local_recipient_reject_code = 550 alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases debug_peer_level = 2 depurador _command = RUTA =/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin / newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix-2.10.1/samples readme_directory = /usr/share / doc/postfix-2.10.1/README_FILES ## FINAL DE CONFIGURACIÓN PREDETERMINADA ####################### # Nombre del servidor como resultado del comando nombre de host myhostname = centos7- test.xs.local # Aquí lógicamente solo hace falta salir del dominio, pero en este caso es mejor salir. nombre completo server, para que el nombre completo del servidor aparezca en el campo del remitente #, esto hace que sea más conveniente analizar los mensajes del servicio mydomain = centos7-test.xs.local mydestination = $myhostname myorigin = $mydomain # Dirección del servidor a través del cual enviaremos enviar correo Relayhost = mailsrv.mymail.ru :25 smtp_use_tls = sí smtp_sasl_auth_enable = sí smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = no anónimo smtp_tls_security_level = may

Creamos un archivo con información sobre el nombre de usuario y contraseña para la autorización.

# medit /etc/postfix/sasl_passwd mailsrv.mymail.ru:25 [correo electrónico protegido]:contraseña

Crea un archivo de base de datos.

# postmap /etc/postfix/sasl_passwd

Ahora puedes reiniciar postfix y comprobar si funciona.

# systemctl reiniciar postfix

Al alias estándar para root en /etc/alias, agregue una dirección externa donde se duplicará el correo dirigido a la raíz. Para ello editamos archivo especificado, cambiando la última línea.

#raíz: marco

Raíz: raíz, [correo electrónico protegido]

Actualización de la base de datos de certificados:

#nuevosalias

Enviemos una carta a través de la consola a la raíz local:

# df-h | correo -s " Uso del disco" raíz

La carta debe ir a un buzón externo. Esto completa la configuración del correo local. Ahora todas las cartas dirigidas a la raíz local, por ejemplo, los informes de cron, se duplicarán en un buzón externo y se enviarán a través de un servidor de correo normal. Así las cartas se entregarán con normalidad, sin acabar en spam (aunque no necesariamente, también existen filtros heurísticos).

Conclusión

Hemos realizado algunos pasos iniciales para configurar un servidor CentOS 7, que es lo que suelo hacer cuando preparo un servidor. No pretendo ser la verdad absoluta, tal vez me estoy perdiendo algo o haciendo algo que no es del todo correcto. Estaré encantado de recibir comentarios y sugerencias razonables y significativos.

Es útil conectar inmediatamente el servidor al sistema de monitoreo después de la configuración básica. O configúrelo si aún no tiene uno.

Vídeo de instalación de CentOS 7

Esta guía ya no está actualizada.

gpg4usb- gratis portátil programa de cifrado Con fuente abierta. Utiliza el mismo algoritmo de clave pública que programas populares GPG Y PGP.

Función principal: cifrado de texto (incluido el correo electrónico) y archivos

Sistema operativo: todas las versiones de windows

Licencia: gratis, código abierto

La versión del programa utilizada aquí: 0.3.3

Volumen de archivo: 16 megas

Última edición de este material: agosto 2014

  • El jefe de nuestra dirección.
  • Guía de privacidad y seguridad digital (Inglés)

¿Qué obtendrás como resultado?

  • Capacidad de cifrar mensajes de texto y archivos estés donde estés (por ejemplo, en el trabajo o en un cibercafé)
  • La capacidad de cifrar mensajes sin estar en Internet (o cuando no hay acceso a Internet) y luego enviarlos desde una computadora que tenga acceso a Internet.

Preparativos para el trabajo

  • Haga clic en el icono gpg4usb abajo y abre el sitio http://www.gpg4usb.org.
  • Haga clic en el gran botón verde en el lado derecho de la página y descárguelo en su computadora. archivo zip.
  • Desempaquete el archivo.
  • Después de esto, puedes eliminar el archivo.

Información útil antes de empezar

gpg4usb utiliza un algoritmo de cifrado de clave pública. Esto significa que con la ayuda del programa una persona crea su propio par de claves únicas. La primera clave se llama "privada" (o "secreta"). El propietario protege esta clave con una contraseña y la guarda en un lugar seguro. La segunda clave se llama clave "pública". Puedes compartirlo abiertamente con tus amigos. La peculiaridad de este par de claves es que lo que está cifrado por una sólo puede ser descifrado por la otra, la pareja.

Digamos que alguien quiere enviarle una carta cifrada. Utiliza su clave pública, cifra el texto con ella y se lo envía a través de correo electrónico. Sólo tú puedes descifrar el mensaje. Después de todo, sólo usted tiene la clave privada adecuada (por pares).

Viceversa: si desea responder encriptado, utilice la clave pública del destinatario. Y utilizará su clave secreta para leer el texto de la carta.

El algoritmo también es útil si necesita garantizar la integridad de la carta. Esto nos ayudará firma electrónica. Utiliza su clave privada para firmar el mensaje. Luego, cualquiera puede usar su clave pública para verificar que usted firmó el correo electrónico y que no se realizaron cambios en el texto durante la transmisión.

Todo esto se puede hacer usando gpg4usb.

Nota. Tenga cuidado: el correo electrónico original (sin cifrar) todavía está almacenado en su computadora. Si el secreto es importante, es mejor borrar el original después de enviar la carta.

Claves de cifrado y cifrado con gpg4usb Los mensajes son compatibles con otros programas, en particular. GPG Y PGP.

Comenzando y creando claves

Desempaquete el archivo zip en una carpeta en el disco e inicie la aplicación start_windows.exe. Se abre la ventana principal del programa.


Antes de cifrar (o descifrar) algo, debe hacer dos cosas: pasos importantes: en primer lugar, cree un par de claves (pública y secreta); en segundo lugar, intercambie claves públicas con sus destinatarios. Hablaremos sobre cómo exportar una clave pública desde un programa en la siguiente parte, pero ahora creemos un par de claves.

Atención: Describimos la ejecución del "asistente de creación de claves" en caso general(a través del menú del programa). En caso gpg4usb acaba de instalarse en su computadora, el Asistente para la creación de claves se iniciará automáticamente.

Seleccione "Clave" - ​​"Generar clave" en el menú.

Aparece la siguiente ventana.


    Nombre- nombre del propietario de la clave. Sirve para identificar visualmente a quién pertenece la llave (algo así como un nombre en una taquilla). Es mejor utilizar el alfabeto latino, ya que hoy en día no todos los programas de cifrado "entienden" el alfabeto cirílico. Por razones de seguridad, no podrá utilizar su nombre real. Sin embargo, debe comprender que esto puede confundir a quienes intercambian mensajes cifrados con usted.

    Dirección de correo electrónico- dirección de correo electrónico. Todo lo escrito en el párrafo anterior es cierto.

    Comentario- puedes omitirlo.

    Vence- fecha de vencimiento de la clave. Una vez que se alcanza esta fecha, la clave pública ya no se puede utilizar para el cifrado. Normalmente, esta restricción sirve como seguro adicional en caso de que el par de claves se vea comprometido (un atacante que tome posesión de las claves al menos no podrá usarlas para siempre). Si no lo necesita, marque la casilla "sin fecha de vencimiento".

    Longitud de clave (bits)- cuanto más larga sea la llave, más protección más confiable y el cifrado/descifrado lleva más tiempo. El valor predeterminado (2048 bits) es suficiente.

    Contraseña- contraseña para proteger la clave secreta. (Consulte la sección Cómo crear y almacenar contraseñas seguras).

Haga clic en el botón "Aceptar".

Cuando termine, aparecerá la ventana final:

Puede verificar que la clave aparece en la lista.


El icono con dos claves implica que no se trata de una clave pública, sino de un par de claves (pública y secreta).

Ahora que ha creado con éxito un par de claves, necesita exportar la clave pública del programa para que otras personas puedan cifrar los correos electrónicos por usted. Por el contrario, importe sus claves para poder enviarles mensajes cifrados. Hablaremos sobre cómo hacer esto en la siguiente parte.

Exportación e importación de claves.

Cómo exportar su clave pública

Antes de intercambiar mensajes cifrados, debe intercambiar claves públicas con el destinatario. Para que otras personas le envíen cifrado, deben utilizar su clave pública. Pero está almacenado "en algún lugar del programa", ¿no? Exportémoslo.

Haga clic en el botón Administrador de claves.

Seleccione la clave (ponga una marca de verificación junto al nombre) y haga clic en el botón "Exportar a archivo" en el panel de control. Guarde el archivo en el disco.


El archivo tendrá un nombre algo largo y torpe como *John Doe [correo electrónico protegido](015A8EAF8C28FA30)_pub* y extensión .asc. Sufijo pub en el nombre del archivo indica que solo se exporta la clave pública. Por cierto, este archivo tiene lo habitual. formato de texto: Si quieres, puedes mirar dentro usando algún editor (por ejemplo, el Bloc de notas) y ver cómo se ve.


La frase "COMIENZO DEL BLOQUE DE CLAVE PÚBLICA DE PGP" significa "Comienzo de un bloque de clave pública de PGP". Este es el estándar para todas las claves públicas.

Gpg4usb le permite no solo guardar la clave seleccionada en el disco, sino también copiarla al portapapeles usando el botón adyacente en la barra de herramientas del Administrador de claves:

Cómo importar la clave pública de otra persona

Para enviar mensajes cifrados a un amigo, debes utilizar su clave pública. Supongamos que un amigo logró exportar su clave (como se muestra arriba) y enviarle un archivo con la clave. Nuestra tarea es importar esta clave a nuestro programa gpg4usb.

Haga clic en el botón importar claves en la barra de herramientas. En la lista que aparece, seleccione el primer elemento "Archivo".


Buscamos el archivo con la clave en el disco, lo seleccionamos y nos aseguramos de que la clave de nuestro amigo aparece en la lista.

Cómo comprobar una clave pública

A veces puedes estar bastante seguro de que la clave pública que recibes realmente pertenece a tu amigo (por ejemplo, si te la entrega personalmente en una unidad flash). Pero muchas veces no existe una conexión directa. En determinadas circunstancias, un atacante puede sustituir la clave de un amigo por otra “falsa”, es decir, la suya propia. Y luego el atacante podrá leer el mensaje cifrado que le enviaste a tu amigo (pero tu amigo no podrá hacerlo). ¿Cómo asegurarse de que la clave sea real?

  • Contacto con un amigo a través de algún otro canal de comunicación, por ejemplo, a través de Skype.
  • Cerciorarse¿Con qué estás hablando realmente? la persona adecuada(el sonido de su voz y la imagen ayudarán a disipar dudas).
  • Pídele a un amigo que te dé su huella clave.

Una impresión de clave es una serie de caracteres que acompaña a cada clave. No es un secreto en sí mismo, sino único. Si la huella digital de la clave que recibió (por ejemplo) por correo electrónico y la huella digital compartida por su amigo en Skype coinciden, entonces tiene en sus manos la clave real y correcta.

Para ver la huella digital, simplemente haga clic clic derecho ratón sobre la tecla y seleccione en menú contextual"Mostrar propiedades clave".

En la ventana que aparece, puedes ver la huella digital de la clave. El botón adyacente le permite copiar la huella digital al portapapeles.

Su destinatario deberá repetir estos pasos. Asegúrate de que las impresiones coincidan. De lo contrario, intente intercambiar claves públicas nuevamente (quizás a través de diferentes direcciones de correo electrónico o un método de comunicación completamente diferente) y verifique las huellas digitales nuevamente. Si coinciden exactamente, puede estar seguro de que tiene las claves correctas.

Cómo cifrar y descifrar

Cómo cifrar texto

  • Copiamos el texto que debe cifrarse en el portapapeles y luego lo pegamos en la ventana del editor (“unnamed1.txt”).

  • Seleccione la clave pública del destinatario (marque la casilla) y haga clic en el botón "Cifrar texto" en el panel de control.

El texto cifrado aparece en la ventana del editor.


Puede cifrar un mensaje a varios destinatarios a la vez. Simplemente marque las casillas junto a las claves públicas correspondientes.

Nota. Un texto breve suele “aumentar de tamaño” después del cifrado, y esto se nota. No te preocupes, aquí no existe una proporción directa. Es decir, un documento grande no crecerá tanto como un texto corto.

Cómo descifrar texto

  • Seleccionamos el texto cifrado en la ventana del programa de correo (servicio) o editor (en una palabra, donde sea visible), lo copiamos al buffer de memoria y lo pegamos en la ventana del editor gpg4usb.

  • Haga clic en el botón "Descifrar texto".
  • El programa solicita una contraseña (para la clave secreta que se utiliza para descifrar). Ingrese la contraseña y haga clic en "Aceptar".

El texto descifrado aparecerá en la ventana del programa.


Nota. Es importante insertar el texto cifrado completo en la ventana gpg4usb, incluido el encabezado COMENZAR MENSAJE PGP y la terminación FINALIZAR MENSAJE PGP.

Cifrar un archivo es tan sencillo como cifrar texto.

  • Haga clic en el botón "Cifrar o descifrar archivo" en la barra de herramientas. En el menú contextual, seleccione "Cifrar archivo".

Aparece una ventana que le pide que seleccione un archivo.

  • Archivo de entrada- seleccione el archivo en el disco que va a cifrar.
  • Archivo de salida- crea un nombre de archivo donde se guardará el resultado.

  • Seleccione (marque) la clave del destinatario al que está destinado el archivo cifrado y haga clic en el botón "Aceptar".

Puedes estar seguro de que ruta especificada Ha aparecido un nuevo archivo cifrado. Ahora se puede enviar al destinatario, por ejemplo, por correo electrónico.

Al programa no le importa qué tipo de archivos cifra. Estos pueden ser documentos hojas de cálculo, presentaciones, en una palabra, cualquier cosa. No lo olvide: puede llevar algún tiempo cifrar un archivo grande.

Nota. El cifrado comprime el archivo. No es necesario comprimir (archivar) archivos por separado antes de cifrarlos.

Nota. Importante: el nombre del archivo no está cifrado. Si envía información confidencial al destinatario, tenga esto en cuenta. Es mejor darle al archivo un nombre abstracto y neutro.

Cómo descifrar un archivo

  • Haga clic en el botón "Cifrar o descifrar archivo" en la barra de herramientas. En el menú contextual, seleccione "Descifrar archivo".
  • Aparece una ventana donde debe seleccionar un archivo de entrada (cifrado) en el disco y especificar el archivo de salida deseado (resultado).
  • Ingrese la contraseña de nuestra clave secreta.

Todo. Puede verificar que el archivo descifrado esté en el disco.

Nota. Si está trabajando en un cibercafé o no está trabajando en su propia computadora, puede ser mejor guardar el archivo cifrado en una unidad flash USB para poder descifrarlo más tarde en un entorno más seguro.

Copia de seguridad de claves

Como cualquier otro dato importante, claves de cifrado requieren un manejo cuidadoso. (Consulte el capítulo "Cómo evitar la pérdida de datos"). Así, son muchos los casos en los que las personas reinstalan el sistema operativo, habiendo copiado previamente sus datos, pero olvidándose de las claves. Por supuesto que puedes crear nuevo par llaves; pero sin la clave secreta anterior, no podrás leer ninguno de los correos electrónicos previamente cifrados que te envíen.

Por supuesto, gpg4usb es portátil y puede funcionar desde una unidad flash USB. Pero las unidades flash a veces también se dañan, se pierden o caen en manos equivocadas, quienes (intencionalmente o no) borran datos importantes. Por eso es mejor tener copias de seguridad llaves.

Cómo exportar su clave privada

EN mundo moderno Cada aspecto de nuestra vida personal está registrado en las computadoras. Una de las formas de protegerse más información importante- cifrado de archivos y directorios. Durante el cifrado, el contenido de los archivos se mezcla con datos redundantes según algoritmo establecido, de tal forma que sólo podrá ser descifrado si tenemos contraseña especial o clave.

El sistema operativo Linux tiene una maravillosa herramienta con código abierto código fuente para cifrar archivos: GNU Privacy Guard o simplemente GPG, que se puede utilizar para cifrar cualquier archivo de línea de comando o en modo gráfico. De esto es de lo que hablaremos en el artículo de hoy.

Antes de continuar con el uso de la utilidad, veamos su sintaxis:

Parámetros del archivo de opciones $ gpg

Opciones especifica qué se debe hacer con el archivo, cómo hacerlo y qué opciones usar. Veamos las opciones más básicas que usaremos en este artículo:

  • -h- mostrar ayuda para la utilidad;
  • -s, --signo- crear firma digital, esta opción se utiliza junto con otras opciones de cifrado;
  • --signo claro- firmar texto no cifrado;
  • -e, --cifrar- cifrar datos usando una clave;
  • -с, --simétrico- cifrar datos mediante una contraseña;
  • -d, --descifrar- descifrar datos cifrados mediante una clave o contraseña;
  • --verificar- comprobar la firma;
  • -k, --lista-claves- mostrar las teclas disponibles;
  • --list-sigs- mostrar firmas disponibles;
  • --huella dactilar- mostrar todas las claves junto con sus huellas digitales;
  • --clave-delete- eliminar la clave;
  • --eliminar-clave-secreta- eliminar la clave secreta;
  • --exportar- exportar todas las claves;
  • --exportar-claves-secretas- exportar todas las claves secretas;
  • --importar- importar claves;
  • --enviar-claves- enviar claves al servidor, se debe especificar el servidor de claves;
  • --recv-claves- recibir claves del servidor de claves;
  • --servidor de claves- especificar el servidor de claves;
  • --buscar-claves- descargar claves;
  • --gen-clave- crear una clave;
  • --clave-de-firma- firmar la clave;
  • --contraseña- cambiar la contraseña de la clave.

Ahora veamos lo que necesitamos para cifrar archivos de Linux.

Cifrar archivos con una contraseña

Un cifrado simétrico es el más simple y al mismo tiempo manera confiable Cifrado de archivos de Linux. Cualquiera que tenga la contraseña puede descifrar el archivo. Para usarlo, simplemente inicie una terminal y ejecute el comando gpg con la opción -c:

gpg -c nombre de archivo

La utilidad creará un archivo con la extensión gpg. Para descifrar use:

nombre de archivo gpg.gpg

Cifrado mediante claves

Un cifrado asimétrico es más fiable porque se utilizan dos claves para el cifrado: una pública para el cifrado en sí, que cualquiera puede utilizar, y una privada para el descifrado. Además, el archivo sólo se puede descifrar utilizando una clave privada; incluso si cifró el archivo, no lo descifrará sin la clave privada.

Primero necesitas configurar gpg, crear un par de claves, para hacer este tipo:

El programa realizará una serie de preguntas para configurar la clave:

Seleccione el tipo de clave requerido.

Seleccionar tamaño correcto para una clave, normalmente 2048 será suficiente.

Seleccione la línea de acción para la clave.

Comprueba si todo está correcto.

Ingrese el nombre de la nueva clave; en realidad es el nombre de usuario, pero lo usará para cifrar el archivo de Linux, así que elija sabiamente.

Ingrese su dirección de correo electrónico.

Descripción de la clave, si es necesario.

Verificación final, luego presione O para finalizar.

El proceso de generación puede tardar algún tiempo. Cuando todo esté listo, aparecerán dos archivos en el directorio ~./gnupg. El archivo pubring.gpg contiene la clave pública y el archivo secring.gpg contiene la clave privada.

También puedes ver la lista de claves disponibles:

Si vas a cifrar archivos en otra computadora, necesitas exportar la clave pública, para esto existe la opción -a:

gpg -a -o gpgkey.asc --exportar nombre_clave

Luego transferimos el archivo al dispositivo de destino e importamos la clave:

gpg --importar gpgkey.asc

Después de importar una clave, el nivel de confianza predeterminado será desconocido, por lo que cada vez cifrado gpg Le preguntará si realmente confía en esta clave. Para evitar esto, debe especificar el nivel de confianza. Para hacer esto, use el editor de claves:

gpg --edit-key Nombre de usuario

Para seleccionar el nivel de confianza, ingrese el comando de confianza:

Para tus llaves, puedes usar el artículo de absoluta confianza con el número 5, sabes que esta es tu llave.

Ahora puedes pasar al cifrado. Para cifrar un archivo de Linux use el comando:

gpg -e -r ID_usuario nombre_archivo

El ID de usuario debe ser el que utilizó al crear la clave. Para descifrar use:

gpg -d nombre de archivo.gpg

Para los directorios, los pasos son similares, pero primero necesitas crear un archivo usando tar:

tar -cf - directorio | gpg -e -r id_usuario

Y para descifrar:

gpg -d directorio.gpg | alquitrán -xvf

Firmas y cifrado

Se puede utilizar una firma, en lugar de cifrado, para verificar la autenticidad de los archivos. Luego, basándose en el archivo y la clave, se crea una huella digital y se escribe en el archivo. Si se cambia el archivo, la huella digital ya no coincidirá.

Puede firmar un archivo usando la opción --sign:

gpg --firmar nombre de archivo

Si no quieres cambiar archivo fuente, luego puedes crear una firma en un archivo separado:

gpg -b nombre de archivo



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba