Linux运维之道之ENGINEER1.0(系统安全，高级连接，防火墙策略）

ENGINEER

系统安全保护：

SELinux安全机制：

概述：

美国NSA国家安全局主导开发，一套增强Linux系统安全的强制访问控制体制；

集成到Linux内核（2.6及以上中）运行；

RHEL7基于SElinux体系针对用户，进程，目录和文件，提供了预设的保护策略，以及管理管理工具

SElinux运行模式的切换：

SElinux的运行模式：

--enforcing（强制）

--permissive（宽松）

--disabled（彻底禁用）

切换运行模式：

#getenforce     //查看当前模式

#vim  /etc/selinux/config

SELINUX=enforcing   //设置为强制启用

#reboot   //重起系统以切换模式

-------------------------------------------------------------------------------------------------------------------------------------------

配置用户环境

自定义命令：

Linux命令字的来源：

如何指定命令字：

指令名：函数>别名>内部命令>外部命令

可执行程序的路径

什么是别名：

---在一个用户环境中，为一个复杂的，需要经常使用的命令行所起的短名称；

---可用来替换普通命令，更加方便；

alias别名设置：

定义新的别名：

---alias  别名名称=“实际执行的命令行”

取消别名：

---unalias  别名名称

-----------------------------------------------------------------------------------------

用户初始化文件

用户个性化配置文件：

---~/bashrc,每次开启bash终端时生效

#su - student   #仅对学生用户有效

全局环境配置

影响所有用户的bash解释环境

---/etc/bashrc  ，每次开启bash终端时生效

#su  -  root

----------------------------------------------------------------------------------------

配置ipv6地址：

nmcli命令行配置：

#nmcli con  mod  "System eth0" ipv6.method manual ipv6 addresses 2003:ac18::305/64

激活更改过的连接：

#nmcli con up “System eth0”

-------------------------------------------------------------------------------------

配置聚合连接

链路聚合的优势：

team，链路聚合

1. 添加team设备

 #nmcli con add   type team con-name team0  ifname  team0  config ‘{“runner”：   {“name”：“activebackup”}}’

#cat  /etc/sysconfig/network-scripts/ifconfig-team0

#ifconfig

2.添加成员

#nmcli con add type team-slave ifname eth1 master team0

#nmcli con add type team-slave ifname eth2 master team0

3.配置team0的ip地址

#nmcli con mod team0 ipv4.method  manual  ipv4.add  192.168.1.1/24 con.auto  yes

4.激活team0

#nmcli con up team-slave-eth1

#nmcli con up team-slave-eth2

#nmcli con up team0

5.验证

#teamdctl team0 state

-------------------------------------------------------------------------------------

防火墙策略管理

作用：隔离；

阻止入站，允许出站；

系统服务：firewalld

管理工具：firewall-cmd（命令）   firewall-config（图形）

查看防火墙服务状态：#systemctl  status firewalld.service

预设保护规则集：

--public：仅允许访问本机的sshd等少数几个；；

--trusted：允许任何访问

--block：阻塞任何访问

--drop：丢弃任何来访的数据包；

防火墙判断规则：匹配及停止：

1. =首先看清请求中的源ip地址，所有区域中是否有对于该ip地址的策略，如果有则请求进入该区域

2. 进入默认区域

查看默认区域：

#firewall-cmd  --get-default-zone

#firewall-cmd  --zone=public  --list-all

添加服务：

#firewall-cmd   --zone=public  --add-service=http

加上-permanent选项：实现永久配置

#firewall-cmd  --reload      #重新加载防火墙

#firewall-cmd   --zone=public  --list-all

修改默认区域：
#firewall-cmd   --set-default-zone=block    适用于教学环境（无法打开）

#firewall-cmd   --fet-default-zone=drop     适用于工作环境（永远询问）

实现本机的端口映射：

#firewall-cmd --permanent --zone=public --add-forward-port=port=5423：proto=tcp：toport=80

#firewall-cmd --reload

#firewall-cmd --zone=public  --list-all