1 SELinux
2 链路聚合
3 防火墙策略
1、系统安全保护 SELinux概述
• Security-Enhanced Linux
– 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具
• SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)
• 切换运行模式
– 临时切换:setenforce 1|0
– 固定配置:/etc/selinux/config 文件
– 如果修改SELinux状态为disabled(彻底禁用),需要修改/etc/selinux/config 文件并且重启
[root@server0 ~]# vim /etc/selinux/config
SELINUX=permissive
2、配置聚合连接 (网卡绑定,链路聚合)
HSRP热备份路由协议: 备份网关设备
活跃路由器 备份路由器
虚拟路由器
网卡绑定: 备份网卡
网卡1 :eth1 网卡2 :eth2
虚拟网卡team
建立网卡绑定:
虚拟机Server0上
1)建立team虚拟的网卡
参考 man teamd.conf ——
'{"runner":{"name":"activebackup"}}' #热备份
'{"runner":{"name":"roundrobin"}}' #轮询式
nmcli connection add type team
con-name team0 ifname team0 autoconnect yes
config '{"runner": {"name": "activebackup"}}'
建立一个类型为team的网卡,配置文件名字为team0,ifconfig命令显示的设备名为team0,每次开机自动启动
team运行的模式为热备份方式
vim /etc/sysconfig/network-scripts/ifcfg-team0 #网卡配置文件信息
ifconfig team0 #查看team0信息
2)添加奴隶
nmcli connection add type team-slave con-name team0-1 ifname eth1 master team0
nmcli connection add type team-slave con-name team0-2 ifname eth2 master team0
添加一个类型为team-slave的成员,配置文件名team0-1,设备为eth1,添加到team0组队中
3)配置IP地址
nmcli connection modify team0 ipv4.method manual ipv4.addresses 192.168.1.1/24 connection.autoconnect yes
4)激活
[root@server0 ~]# nmcli connection up team0
[root@server0 ~]# nmcli connection up team0-1
[root@server0 ~]# nmcli connection up team0-2
[root@server0 ~]# ifconfig team0
5)查看team信息
[root@server0 ~]# teamdctl team0 state
6)配置错误,删除重做
[root@server0 ~]# nmcli connection delete team0
[root@server0 ~]# nmcli connection delete team0-1
[root@server0 ~]# nmcli connection delete team0-2
3、配置IPV6地址
ip地址:唯一标识,网络一个节点的地址
ipv4: 32个二进制 点分4个10进制
ipv6: 128个二进制 以":"分隔8段,每段用16进制表示
案例3:配置IPv6地址
nmcli connection modify 'System eth0' ipv6.method manual ipv6.addresses 2003:ac18::305/64 connection.autoconnect yes
nmcli connection up 'System eth0'
ping6 2003:ac18::305 #测试ping6
配置用户环境(永久别名的定义)
alias别名设置
• 查看已设置的别名
– alias [别名名称]
• 定义新的别名
– alias 别名名称= '实际执行的命令行'
• 取消已设置的别名
– unalias [别名名称]
用户个性化配置文件
• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效
全局环境配置
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效
[root@server0 ~]# vim /root/.bashrc #root用户自定义别名
alias hello='echo hi'
[root@server0 ~]# vim /etc/bashrc #所有用户自定义别名
alias myls='ls -ld'
[root@server0 ~]# vim /home/student/.bashrc #student用户
alias hi='echo hello'
[root@server0 ~]# vim /etc/bashrc #所有用户自定义别名
alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz'
4、防火墙策略管理
Web服务器
Server服务端 :服务端软件
客户端:客户端软件,访问服务端资源
1)安装服务端软件httpd(d:daemon 守护进程)
[root@server0 ~]# yum -y install httpd
2)启动httpd服务,设置为开机自起
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd
3)验证
[root@server0 ~]# firefox http://172.25.0.11
4)书写一个页面
默认网页文件路径:/var/www/html
默认网页文件名称:index.html
[root@server0 ~]# vim /var/www/html/index.html(固定格式)
书写一个html页面
FTP服务器
1)安装服务端软件vsftpd
[root@server0 ~]# yum -y install vsftpd
vsftpd:服务端的包
ftp:客户端的包
2)启动vsftpd服务,设置为开机自起
[root@server0 ~]# systemctl restart vsftpd
[root@server0 ~]# systemctl enable vsftpd
3)验证
[root@server0 ~]# firefox ftp://172.25.0.11
默认的共享路径:/var/ftp
• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config
[root@server0 ~]# systemctl restart firewalld
作用:隔离, 严格控制入站请求,放行所有出站
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd等少数几个服务
– trusted:允许任何访问
– block:拒绝任何来访请求
– drop:丢弃任何来访的数据包
防火墙判定的规则:
1)客户端数据中的源IP地址,查看所有区域中那个区域有该地址的规则,如果有则进入该区域
2)进入默认区域(管理员可以设置默认区域)
虚拟机server0:
firewall-cmd --get-default-zone #查看默认区域
firewall-cmd --zone=public --list-all #查看区域规则
虚拟机desktop0:
ping -c 2 172.25.0.11 #可以通信
虚拟机server0:
firewall-cmd --get-default-zone #查看默认区域
firewall-cmd --set-default-zone=block #修改默认区域
firewall-cmd --get-default-zone
虚拟机desktop0:
ping -c 2 172.25.0.11 #不能通信,当可以收到回应
虚拟机server0:
firewall-cmd --set-default-zone=drop #修改默认区域
firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop0:
ping -c 2 172.25.0.11 #不能通信,没有回应
虚拟机server0:
firewall-cmd --set-default-zone=public
firewall-cmd --get-default-zone
firewall-cmd --zone=public --list-all #查看区域策略
firewall-cmd --zone=public --add-service=http #添加服务
虚拟机desktop0:
firefox http://172.25.0.11 #可以访问
firefox ftp://172.25.0.11 #不可以访问
虚拟机server0:
firewall-cmd --zone=public --list-all #查看区域策略
firewall-cmd --zone=public --add-service=ftp #添加服务
虚拟机desktop0:
firefox http://172.25.0.11 #可以访问
firefox ftp://172.25.0.11 #可以访问
永久配置(permanent)
虚拟机server0:
firewall-cmd --reload #重新加载防火墙配置
firewall-cmd --zone=public --list-all #查看防火器规则
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --zone=public --list-all #查看防火器规则
firewall-cmd --reload #重新加载防火墙配置
firewall-cmd --zone=public --list-all
实现本机的端口映射
• 本地应用的端口重定向(端口1 --> 端口2)
– 从客户机访问 端口1 的请求,自动映射到本机 端口2
– 比如,访问以下两个地址可以看到相同的页面:
http://172.25.0.11:5423/
http://172.25.0.11/
从客户机访问 ------>172.25.0.11:5423---------->172.25.0.11:80
虚拟机Server0
firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
#将public区域增加端口5423通过tcp协议到80端端口
firewall-cmd --add-source=ip/24 --zone=block
firewall-cmd --reload
firewall-cmd --zone=public --list-all
虚拟机Desktop0:
firefox http://172.25.0.11:5423
删除:
[root@server0 ~]# firewall-cmd --permanent --remove-service=http
[root@server0 ~]# firewall-cmd --permanent --zone=public --remove-service=ftp
[root@server0 ~]# firewall-cmd --reload