9.系统安全 防火墙

其他 2020-01-15 10:31:36 阅读次数: 0

一.系统安全保护

SELinux概述

• Security-Enhanced Linux
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具

SELinux运行模式的切换

• SELinux的运行模式

– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)

任何模式进入到disabled(彻底禁用),都要经历重起系统

• 切换运行模式

– 临时切换:setenforce 1|0
– 固定配置:/etc/selinux/config 文件 #下一次开机生效
– 查看当前运行模式:getenforce

虚拟机server:
1.当前临时修改

[root@server0 ~]# getenforce     #查看SELinux状态
[root@server0 ~]# setenforce 0   #修改SELinux状态
[root@server0 ~]# getenforce

2.固定配置

[root@server0 ~]# vim /etc/selinux/config 
SELINUX=permissive

虚拟机desktop:
1.当前临时修改

[root@desktop0 ~]# getenforce 
[root@desktop0 ~]# setenforce 0
[root@desktop0 ~]# getenforce

2.固定配置

[root@desktop0 ~]# vim /etc/selinux/config 
SELINUX=permissive

配置用户环境

• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效

[root@server0 ~]# vim /root/.bashrc 
alias hello='echo hello'
[root@server0 ~]# vim /home/student/.bashrc 
alias hi='echo hi'
[root@server0 ~]# vim /etc/bashrc 
alias haxi='echo haha xixi'

防火墙策略的管理

作用: 隔离 严格过滤入站,放行出站
硬件防火墙
软件防火墙:firewalld服务基础

Linux的防火墙体系

• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形工具)

预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的ssh、ping、dhcp
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝所有,客户端收到回应)
– drop:丢弃任何来访的数据包(不给回应,客户端不会收到回应)

防火墙判定的规则:匹配及停止

1.查看请求数据包中源IP地址,查看防火墙所有的区域,哪一个区域有该源IP地址的规则,则进入该区域
2.进入默认区域(默认情况下为public)

[root@server0 ~]#  firewall-cmd --get-default-zone   #查看默认区域
[root@server0 ~]#  firewall-cmd --set-default-zone=drop  #修改默认区域为drop
[root@server0 ~]# firewall-cmd --set-default-zone=public    #修改默认区域
[root@server0 ~]#firewall-cmd --zone=public --list-all       #查看区域的规则
[root@server0 ~]# firewall-cmd --zone=public --add-service=http  #添加允许的协议
[root@server0 ~]# firewall-cmd  --permanent  --zone=block   --add-source=172.25.0.10/24
                                                             #封172.25.0.10网段
端口:编号 标识服务或协议或程序

管理员root可以改变端口

http协议:默认端口 80
ftp协议:默认端口 21

例:实现本机的端口映射(端口转发)
– 从客户机访问 5423 的请求,自动映射到本机 80
– 比如,访问以下两个地址可以看到相同的页面:
http://172.25.0.11:5423
http://172.25.0.11:80
虚拟机server:
1.删除策略

[root@server0 ~]# firewall-cmd --zone=block --remove-source=172.25.0.10

2.添加端口转发的策略

[root@server0 ~]# firewall-cmd --permanent --zone=public
   --add-forward-port=port=5423:proto=tcp:toport=80

[root@server0 ~]# firewall-cmd --permanent --zone=public
   --add-forward-port=port=5423:proto=tcp:toport=80]# firewall-cmd --reload   //重载配置

3.客户端测试,禁止本机测试

[root@server0 ~]# firefox 172.25.0.11:5423
tian1345
发布了37 篇原创文章 · 获赞 48 · 访问量 1696
私信 关注

猜你喜欢

转载自blog.csdn.net/tian1345/article/details/103480882
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
记一下去大梅沙的准备(2018-05-26)
Spring 注解 事务
基于HTTP协议的客户端缓存
阿里云rds 备份和还原
[PHP] 几个拖慢 PHP 程序/API 运行速度的点
python 代码风格------------PEP8规则
js控制json生成菜单——自制菜单(一)
将字符串: 'k:1|k1:2|k2:3|k3:4 ' ,处理成 python 字典: {'k':1, 'k1':2, ...}
微信小程序转支付宝小程序
Qt551.窗口滚动条
每日归档
更多
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022