9.系统安全 防火墙

两盒软妹~` 提交于 2019-12-18 01:03:44

一.系统安全保护

SELinux概述

• Security-Enhanced Linux
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具

SELinux运行模式的切换

• SELinux的运行模式

– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)

任何模式进入到disabled(彻底禁用),都要经历重起系统

• 切换运行模式

– 临时切换:setenforce 1|0
– 固定配置:/etc/selinux/config 文件 #下一次开机生效
– 查看当前运行模式:getenforce

虚拟机server:
1.当前临时修改

[root@server0 ~]# getenforce     #查看SELinux状态
[root@server0 ~]# setenforce 0   #修改SELinux状态
[root@server0 ~]# getenforce 

2.固定配置

[root@server0 ~]# vim /etc/selinux/config 
SELINUX=permissive

虚拟机desktop:
1.当前临时修改

[root@desktop0 ~]# getenforce 
[root@desktop0 ~]# setenforce 0
[root@desktop0 ~]# getenforce 

2.固定配置

[root@desktop0 ~]# vim /etc/selinux/config 
SELINUX=permissive

配置用户环境

• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效

[root@server0 ~]# vim /root/.bashrc 
alias hello='echo hello'
[root@server0 ~]# vim /home/student/.bashrc 
alias hi='echo hi'
[root@server0 ~]# vim /etc/bashrc 
alias haxi='echo haha xixi'

防火墙策略的管理

作用: 隔离 严格过滤入站,放行出站
硬件防火墙
软件防火墙:firewalld服务基础

Linux的防火墙体系

• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形工具)

预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的ssh、ping、dhcp
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝所有,客户端收到回应)
– drop:丢弃任何来访的数据包(不给回应,客户端不会收到回应)

防火墙判定的规则:匹配及停止

1.查看请求数据包中源IP地址,查看防火墙所有的区域,哪一个区域有该源IP地址的规则,则进入该区域
2.进入默认区域(默认情况下为public)

[root@server0 ~]#  firewall-cmd --get-default-zone   #查看默认区域
[root@server0 ~]#  firewall-cmd --set-default-zone=drop  #修改默认区域为drop
[root@server0 ~]# firewall-cmd --set-default-zone=public    #修改默认区域
[root@server0 ~]#firewall-cmd --zone=public --list-all       #查看区域的规则
[root@server0 ~]# firewall-cmd --zone=public --add-service=http  #添加允许的协议
[root@server0 ~]# firewall-cmd  --permanent  --zone=block   --add-source=172.25.0.10/24
                                                             #封172.25.0.10网段
端口:编号 标识服务或协议或程序

管理员root可以改变端口

http协议:默认端口 80
ftp协议:默认端口 21

例:实现本机的端口映射(端口转发)
– 从客户机访问 5423 的请求,自动映射到本机 80
– 比如,访问以下两个地址可以看到相同的页面:
http://172.25.0.11:5423
http://172.25.0.11:80
虚拟机server:
1.删除策略

[root@server0 ~]# firewall-cmd --zone=block --remove-source=172.25.0.10

2.添加端口转发的策略

[root@server0 ~]# firewall-cmd --permanent --zone=public
   --add-forward-port=port=5423:proto=tcp:toport=80
[root@server0 ~]# firewall-cmd --permanent --zone=public
   --add-forward-port=port=5423:proto=tcp:toport=80]# firewall-cmd --reload   //重载配置

3.客户端测试,禁止本机测试

[root@server0 ~]# firefox 172.25.0.11:5423
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!