linux ipsec 软件

IPSec 和 pptp ssl L2tp 分别运行在哪层？

Linux的不同版本叫做发行版，这些发行版由个人，松散组织的团队，以及商业机构和志愿者组织编写。

它们通常包括了其他的系统软件和应用软件，以及一个用来简化系统初始安装的安装工具，和让软件安装升级的集成管理器。

一个典型的Linux发行版包括：Linux内核，一些GNU程序库和工具，命令行shell，图形界面和相应的桌面环境，并包含数千种从办公套件，编译器，文本编辑器到科学工具的应用软件。

已经有超过三百个发行版被积极的开发，最普遍被使用的发行版只有十余个。

下面将介绍几个常用的Linux发行版：Fedora：它是一套从Red Hat Linux发展出来的免费Linux系统。

Fedora Core 的前身就是Red Hat Linux。

Debian：它的目标是提供一个稳定容错的Linux版本。

支持Debian的不是某家公司，而是许多在其改进过程中投入了大量时间的开发人员。

Ubuntu:Ubuntu的目标在于为一般用户提供一个最新的、同时又相当稳定的主要由自由软件构建而成的操作系统。

Red Hat Linux:Red Hat Linux是公共环境中表现上佳的服务器。

它拥有自己的公司，能向用户提供一套完整的服务，这使得它特别适合在公共网络中使用。

这个版本的Linux也使用最新的内核，还拥有大多数人都需要使用的主体软件包。

SuSE：它一直致力于创建一个连接数据库的最佳Linux版本。

为了实现这一目的，SuSE与Oracle 和IBM合作，以使他们的产品能稳定地工作。

centos：它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。

怎么样来提升Linux服务器系统安全性

下面重点介绍下Linux系统登录账户的安全设置方法。

1、删除特殊的账户和账户组 Linux提供了各种不同角色的系统账号，在系统安装完成后，默认会安装很多不必要的用户和用户组，如果不需要某些用户或者组，就要立即删除它，因为账户越多，系统就越不安全，很可能被黑客利用，进而威胁到服务器的安全。

Linux系统中可以删除的默认用户和组大致有如下这些：可删除的用户，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

可删除的组，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

2、关闭系统不需要的服务Linux在安装完成后，绑定了很多没用的服务，这些服务默认都是自动启动的。

对于服务器来说，运行的服务越多，系统就越不安全，越少服务在运行，安全性就越好，因此关闭一些不需要的服务，对系统安全有很大的帮助。

具体哪些服务可以关闭，要根据服务器的用途而定，一般情况下，只要系统本身用不到的服务都认为是不必要的服务。

例如：某台Linux服务器用于www应用，那么除了httpd服务和系统运行是必须的服务外，其他服务都可以关闭。

下面这些服务一般情况下是不需要的，可以选择关闭： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv3、密码安全策略在Linux下，远程登录系统有两种认证方式：密码认证和密钥认证。

密码认证方式是传统的安全策略，对于密码的设置，比较普遍的说法是：至少6个字符以上，密码要包含数字、字母、下划线、特殊符号等。

设置一个相对复杂的密码，对系统安全能起到一定的防护作用，但是也面临一些其他问题，例如密码暴力破解、密码泄露、密码丢失等，同时过于复杂的密码对运维工作也会造成一定的负担。

密钥认证是一种新型的认证方式，公用密钥存储在远程服务器上，专用密钥保存在本地，当需要登录系统时，通过本地专用密钥和远程服务器的公用密钥进行配对认证，如果认证成功，就成功登录系统。

这种认证方式避免了被暴力破解的危险，同时只要保存在本地的专用密钥不被黑客盗用，攻击者一般无法通过密钥认证的方式进入系统。

因此，在Linux下推荐用密钥认证方式登录系统，这样就可以抛弃密码认证登录系统的弊端。

Linux服务器一般通过SecureCRT、putty、Xshell之类的工具进行远程维护和管理，密钥认证方式的实现就是借助于SecureCRT软件和Linux系统中的SSH服务实现的。

4、合理使用su、sudo命令su命令：是一个切换用户的工具，经常用于将普通用户切换到超级用户下，当然也可以从超级用户切换到普通用户。

为了保证服务器的安全，几乎所有服务器都禁止了超级用户直接登录系统，而是通过普通用户登录系统，然后再通过su命令切换到超级用户下，执行一些需要超级权限的工作。

通过su命令能够给系统管理带来一定的方便，但是也存在不安全的因素，例如：系统有10个普通用户，每个用户都需要执行一些有超级权限的操作，就必须把超级用户的密码交给这10个普通用户，如果这10个用户都有超级权限，通过超级权限可以做任何事，那么会在一定程度上对系统的安全造成了威协。

因此su命令在很多人都需要参与的系统管理中，并不是最好的选择，超级用户密码应该掌握在少数人手中，此时sudo命令就派上用场了。

sudo命令：允许系统管理员分配给普通用户一些合理的“权利”，并且不需要普通用户知道超级用户密码，就能让他们执行一些只有超级用户或其他特许用户才能完成的任务。

比如：系统服务重启、编辑系统配置文件等，通过这种方式不但能减少超级用户登录次数和管理时间，也提高了系统安全性。

因此，sudo命令相对于权限无限制性的su来说，还是比较安全的，所以sudo也被称为受限制的su，另外sudo也是需要事先进行授权认证的，所以也被称为授权认证的su。

sudo执行命令的流程是：将当前用户切换到超级用户下，或切换到指定的用户下，然后以超级用户或其指定切换到的用户身份执行命令，执行完成后，直接退回到当前用户，而这一切的完成要通过sudo的配置文件/etc/sudoers来进行授权。

sudo设计的宗旨是：赋予用户尽可能少的权限但仍允许它们完成自己的工作，这种设计兼顾了安全性和易用性，因此，强烈推荐通过sudo来管理系统账号的安全，只允许普通用户登录系统，如果这些用户需要特殊的权限，就通过配置/etc/sudoers来完成，这也是多用户系统下账号安全管理的基本方式。

5、删减系统登录欢迎信息系统的一些欢迎信息或版本信息，虽然能给系统管理者带来一定的方便，但是这些信息有时候可能被黑客利用，成为攻击服务器的帮凶，为了保证系统的安全，可以修改或删除某些系统文件，需要修改或删除的文件有4个，分别是：/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。

/etc/issue和/etc/issue.net文件都记录了操作系统的...

如何让网内的IPSEC ***穿越cisco asa5505透明模式部署的防火墙？...

放通二、三层就ok。

告诉个最简单的access-list mac ethertype per anyaccess-list out-in per ip any any //如有严格策略可修改这个即可接口绑定aclaccess-group mac in inter outsideaccess-group out-in in inter outside

* 隧道协议PPTP,L2TP,IPSec和SSL*的区别

***是虚拟私有网络（Virtual Private Network）的简称，是一种常用于连接私有网络的通讯方式。

***利用加密的通道协议来实现保密、认证等私有信息安全。

***属于远程访问技术，简单地说就是利用公用网络架设专用网络，***技术可以基于不安全的网络（如互联网）来发送可靠、安全的私有信息。

主流的操作系统，例如Windows、OSX及Linux等均内置***传输协议，可以不通过专用设备来实现***连接。

安全的***网络使用加密协议，阻止截听与嗅探来提供保密性，还允许发送者身份验证，以阻止身份伪造，同时通过防止信息被修改，保证信息完整。

常用的***网络协议有：PPTP、IPSec、L2TP/IPSec和Open***几种。

2003年4月，信息产业部颁发了《电信业务分类目录》，取消了国际电信业务的分类，同时将虚拟专用网业务自基础电信业务中分离出来，成为独立的增值电信业务分类。

但是此处的“虚拟专用网”概念与行业内的***业务是不一样的。

新的《电信业务分类目录》中对该分类的解释是：国内因特网虚拟专用网业务（IP-***）是指经营者利用自有的或租用公用因特网网络资源，采用TCP/IP协议，为国内用户定制因特网闭合用户群网络的服务。

这种分类的解释强调了两个特点，一个是利用因特网网络资源，一个是采用TCP/IP协议。

这种解释是与当时的市场状况所对应的，当时关注的是基于互连网的IPSec ***，虽然该解释可以基本涵盖后出现的SSL ***模式，但并没有关注MPLS ***。

2003年8月，信息产业部发布《关于组织开展国内多方通信服务等三项电信业务商用试验的通知》，就“国内多方通信服务业务”、“在线数据处理与交易处理业务”、“国内因特网虚拟专用网业务”等三项增值电信业务组织开展商用试验，有效期至2004年8月底。

2004年11月，信息产业部发布《关于继续开展国内多方通信服务等三项增值电信业务商用试验的通告》，决定将以上三项增值电信业务商用试验期延长一年，至2005年8月31日。

2006年1月，信息产业部发布《关于两项增值电信业务及国内多方通信服务的通告》，正式开放“国内因特网虚拟专用网业务”和“在线数据处理与交易处理业务”两项增值电信业务，上述两项增值电信业务由商用试验转为正式商用。

2008年，正式颁发IP-***业务牌照。

名为IPSec ***的中国“国内因特网虚拟专用网”增值电信业务许可证自其诞生之日起即以MPLS ***为发展方向。

2013年，工业与信息化部公布的《电信业务分类目录（征求意见稿）》中仍然没有对此作出任何改变。

2015年1月起，某国开始加强对外国***服务的封锁，使用PPTP和L2TP/IPSec协议的用户将无法使用。

如何提高linux服务器的安全策略

安全是IT行业一个老生常谈的话题了，处理好信息安全问题已变得刻不容缓。

做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。

主要分五部分展开：账户和登录安全账户安全是系统安全的第一道屏障，也是系统安全的核心，保障登录账户的安全，在一定程度上可以提高服务器的安全级别，下面重点介绍下Linux系统登录账户的安全设置方法。