系统安全保护

系统安全

SELinux安全机制

• SELinux概述
  1. 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制系统
  2. 集成到Linux内核中运行
• SELinux运行模式的切换
  1. SELinux运行模式
     • enfocing(强制)
     • permissive(宽松)
     • disabled(彻底禁用)
  2. 切换运行模式
     • 临时切换: setenforce 1|0
     • 固定是设置: /etc/selinux/config 文件
     • 查看当前模式: getenforce

配置用户环境

• Linux命令字的来源
  • 可执行程序的路径
  • 在用户环境中为一个负载的经常使用的命令行所起的短名称
  • 可以用来替换普通命令
• alias别名的设置
  • 查看以设置的别名 alias [别名名称]
  • 定义新的别名 alias 别名名称=‘实际命令’
  • 取消以设置的别名 unalias 别名名称
• 用户个性化配置文件
  ~/.bashrc,每次开启bash终端生效,指定用户的解释器环境
• 全局环境配置
  /etc/bashrc,每次开启终端生效,影响所有用户的解释器环境

防火墙策略

• firewalld服务基础
  • 系统服务 : firewalld
  • 管理工具 : firewall-cmd / firewall-config
  • 预设安全区
    • public : 仅允许访问本机的sshd等少数几个服务
    • trusted : 允许任何访问
    • block : 阻塞任何来访问请求
    • drop : 丢弃任何来访的数据包
  • 配置规则的位置:
    • 运行时
    • 永久
  • 查看防火墙规则列表
    • firewall-cmd --list-all [–zone=区域名]
    • firewall-cmd --list–all-zones
    • firewall-cmd --get-zones
    • firewall-cmd --get-services
    • firewall-cmd --get-default-zone
• 配置防火墙
  1. firewall-cmd --set-default-zone=区域 修改共组模式
  2. firewall-cmd --permanent --zone=block --add-source=ip/网段 封禁网段或[ip
  3. firewall-cmd --permanent —zone=public --add-service=服务名 开服务
  4. firewall-cmd --reload 重载配置
  5. firewall-cmd --permanent --zone=trusted --add-forward-port=port=5423:proto=tcp:toport=80 端口映射将80端口映射到了5423端口