二、 使用加密方法来保护系统文件的步骤

　　用户可以将自己的文件以加密的方式存储，尽管这些文件对于超级用户还是可读的，但内容确是超级用户无法识别的。因为，此时的文件内容已经被加密算法打乱了，只有用户才可以通过解密算法来恢复文件的内容。文件在传输的过程中能否保持与原来文件的内容一致，我们如何察觉到传递的文件已经被别人修改过了？有两种方法可以验证文件的一致性：? 数字签名。? 消息身份验证代码。

　　1．产生对称密钥

　　密钥是控制加密算法和解密算法的关键信息，它的产生、传输、存储等工作是十分重要的。对称密钥是无论加密还是解密都采用一个密钥。密钥的产生最好是随机产生的。下面我们介绍使用dd命令和/dev/urandom设备随机产生的密钥的方法。

　　（1）在产生密钥前需要了解系统中加密算法所支持的密钥长度。

　　首先显示数字签名算法，如图 -4 。

　　图 -4 首先显示数字签名算法

　　显示MAC机制：

　　使用命令： mac -l

　　我们只需要在最大值和最小值之间取一个长度数值就可以了。比如对于sha1_hmac和md5_hmac来说，我们可以取的密钥长度是8、16、64等。

　　（2）创建用于 DES 算法的密钥

　　在以下示例中，将创建用于 DES 算法的密钥。也将存储该密钥用于以后的解密。DES 机制使用 64 位的密钥。该密钥在 dd 命令中表示为 8 字节。

　　#dd if=/dev/urandom of=$HOME/keyf/05.07.des8 bs=8  count=1

　　（3）保存密钥，修改权限不让其他用户读取。

　　% chmod 400 ~/keyf/05.07.des8

　　2．检查文件的完整性的步骤

　　检查文件的完整性有下面两种方法。

　　（1）通过比较文件的数字签名，可以了解文件是否被改动。

　　比如，我们在下载许多Linux和UNIX软件的时候，总会看到一个文件名相同而文件扩展名却为.md5的文件。在这个文件中通常只有一行文本，大致结构如下：

　　md5 (dcghj.tar.gz) = 85c0a53d1a5cc71ea34d9ee7b1b28

　　检查文件的数字签名：

　　% digest -v -a md5 dcghj.tar.gz >> $HOME/digest.duanf.05.07

　　% cat ~/digest. dcghj.05.07

　　md5 (dcghj.tar.gz) = 85c0a53d1a5cc71ea34d9ee7b1b28

　　可见，下载文件与网站的原文件一致。

　　3．确保文件的保密性的步骤

　　文件的加密和解密的目的就是为了确保文件的保密性。我们可以通过encrypt命令来对文件进行加密，使用decrypt命令来对文件进行解密。

　　在以下示例中，将使用 3DES 算法加密文件。3DES 算法要求 192 位（24 字节）的密钥。

　　% encrypt -a 3des -k ~/keyf/05.07.des24 -i ~/personal2.txt -o ~/enc/e.personal2.txt

　　要解密输出文件，用户应使用加密该文件的相同密钥和加密机制。

　　% decrypt -a 3des -k ~/keyf/05.07.des24 -i ~/enc/e.personal2.txt -o ~/personal2.txt

　　说明：3DES：即三重DES，只是以某种特殊的顺序使用2个密钥执行三次DES，也可以使用三个单独密钥。

　　4 修改系统密码的加密算法

　　强悍的密码加密算法可以给系统提供更多的安全保障。Solaris提供的加密算法如表-1所示。

　　表-1 密码的加密算法

　　改变默认加密算法的配置文件是/etc/security/policy.conf文件。在此文件中有一个CRYPT_DEFAULT字段，将其值赋予不同的加密算法的标识符，就可以改变系统默认加密算法。

　　将系统默认加密算法改为Blowfish算法。

　　修改/etc/security/policy.conf，使其具有下面内容：

　　CRYPT_ALGORITHMS_ALLOW=1,2a,md5

　　#CRYPT_ALGORITHMS_DEPRECATE=__unix__

　　CRYPT_DEFAULT=2a

　　总结：本文介绍了使用Solaris 10加密命令保证Solaris服务器安全的方法，这里使用的版本是Solaris 10 5/08 当然除了Solaris自身提供的命令外还可以使用第三方软件如gunpg （http://www.gnupg.org/ ）等工具实现加密和解密。