一.系统安全保护
SELinux概述
• Security-Enhanced Linux
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具
SELinux运行模式的切换
• SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)
任何模式进入到disabled(彻底禁用),都要经历重起系统
• 切换运行模式
– 临时切换:setenforce 1|0
– 固定配置:/etc/selinux/config 文件 #下一次开机生效
– 查看当前运行模式:getenforce
虚拟机server:
1.当前临时修改
[root@server0 ~]# getenforce #查看SELinux状态
[root@server0 ~]# setenforce 0 #修改SELinux状态
[root@server0 ~]# getenforce
2.固定配置
[root@server0 ~]# vim /etc/selinux/config
SELINUX=permissive
虚拟机desktop:
1.当前临时修改
[root@desktop0 ~]# getenforce
[root@desktop0 ~]# setenforce 0
[root@desktop0 ~]# getenforce
2.固定配置
[root@desktop0 ~]# vim /etc/selinux/config
SELINUX=permissive
配置用户环境
• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效
[root@server0 ~]# vim /root/.bashrc
alias hello='echo hello'
[root@server0 ~]# vim /home/student/.bashrc
alias hi='echo hi'
[root@server0 ~]# vim /etc/bashrc
alias haxi='echo haha xixi'
防火墙策略的管理
作用: 隔离 严格过滤入站,放行出站
硬件防火墙
软件防火墙:firewalld服务基础
Linux的防火墙体系
• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形工具)
预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的ssh、ping、dhcp
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝所有,客户端收到回应)
– drop:丢弃任何来访的数据包(不给回应,客户端不会收到回应)
防火墙判定的规则:匹配及停止
1.查看请求数据包中源IP地址,查看防火墙所有的区域,哪一个区域有该源IP地址的规则,则进入该区域
2.进入默认区域(默认情况下为public)
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域
[root@server0 ~]# firewall-cmd --set-default-zone=drop #修改默认区域为drop
[root@server0 ~]# firewall-cmd --set-default-zone=public #修改默认区域
[root@server0 ~]#firewall-cmd --zone=public --list-all #查看区域的规则
[root@server0 ~]# firewall-cmd --zone=public --add-service=http #添加允许的协议
[root@server0 ~]# firewall-cmd --permanent --zone=block --add-source=172.25.0.10/24
#封172.25.0.10网段
端口:编号 标识服务或协议或程序
管理员root可以改变端口
http协议:默认端口 80
ftp协议:默认端口 21
例:实现本机的端口映射(端口转发)
– 从客户机访问 5423 的请求,自动映射到本机 80
– 比如,访问以下两个地址可以看到相同的页面:
http://172.25.0.11:5423
http://172.25.0.11:80
虚拟机server:
1.删除策略
[root@server0 ~]# firewall-cmd --zone=block --remove-source=172.25.0.10
2.添加端口转发的策略
[root@server0 ~]# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80
[root@server0 ~]# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80]# firewall-cmd --reload //重载配置
3.客户端测试,禁止本机测试
[root@server0 ~]# firefox 172.25.0.11:5423
来源:CSDN
作者:tian1345
链接:https://blog.csdn.net/tian1345/article/details/103480882