selinux及防火墙讲解
系统安全保护
SELinux概述
• Security-Enhanced Linux
– 美国NSA国家安全局主导开发,一套增强Linux系统安
全的强制访问控制体系
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具
SELinux运行模式的切换
• SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)
任何模式再切换到disabled(彻底禁用)模式,都必须要经历重起系统
• 切换运行模式
– 临时切换:setenforce 1|0 #暂时再本次开机有效
– 固定配置:/etc/selinux/config 文件 #不影响当前SELinux状态
虚拟机server
[root@server0 ~]# getenforce #查看SELinux状态
Enforcing
[root@server0 ~]# setenforce 0 #当前修改SELinux状态
[root@server0 ~]# getenforce
Permissive
[root@server0 ~]# vim /etc/selinux/config #永久配置
SELINUX=permissive
虚拟机desktop做相同操作,将SELinux状态设置为宽松
#####################################################
配置用户环境
alias别名设置
• 查看已设置的别名
– alias [别名名称]
• 定义新的别名
– alias 别名名称= ‘实际执行的命令行’
• 取消已设置的别名
– unalias [别名名称]
• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效
[root@server0 ~]# vim /root/.bashrc
alias hello=‘echo hello’
[root@server0 ~]# vim /home/student/.bashrc
alias hi=‘echo hi’
[root@server0 ~]# vim /etc/bashrc
alias abc=‘echo abc’
请开启一个全新的终端,进行远程管理测试
####################################################
防火墙策略管理
一、虚拟机server构建基本的Web服务(提供一个页面的服务)
1.安装httpd软件包
[root@server0 ~]# yum -y install httpd
[root@server0 ~]# rpm -q httpd
2.重起httpd服务
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# firefox 172.25.0.11
3.书写网页文件
默认路径:/var/www/html
默认网页文件识别的名称:index.html
[root@server0 ~]# vim /var/www/html/index.html
NSD1902阳光明媚
滚动 字体颜色 字体变大
[root@server0 ~]# firefox 172.25.0.11
二、虚拟机server搭建基本FTP服务
FTP:文件传输协议
1.安装vsftpd软件
[root@server0 ~]# yum -y install vsftpd
[root@server0 ~]# rpm -q vsftpd
2.重起vsftpd服务
[root@server0 ~]# systemctl restart vsftpd
[root@server0 ~]# firefox ftp://172.25.0.11
3.默认共享数据的目录:/var/ftp
#################################################
防火墙策略管理
作用:隔离,进行过滤所有入站请求
硬件防火墙
软件防火墙
firewalld服务基础
• 管理工具:firewall-cmd、firewall-config(图形工具)
预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的ssh、ping、dhcp服务
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝,有回应客户端)
– drop:丢弃任何来访的数据包(直接丢弃,没有回应客户端)
节省服务器资源
数据包: 源IP地址 目标IP地址 数据
防火墙判定规则:(进入哪一个区域)
1.首先查看,客户端数据包中源IP地址,然后查看自己所有区域规则,那个区域有该源IP地址的规则,则进入该区域
2.进入默认区域(public)
########################################################
防火墙默认区域的修改
虚拟机server:
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop
]# ping 172.25.0.11 #可以通信
虚拟机server:
]# firewall-cmd --set-default-zone=block #修改默认区域
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop
]# ping 172.25.0.11 #不可以通信,有回应
虚拟机server:
]# firewall-cmd --set-default-zone=drop #修改默认区域
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop
]# ping 172.25.0.11 #不可以通信,没有回应
#####################################################
区域中添加允许的服务或协议
http:超文本传输协议
ftp:文本传输协议
虚拟机server
]# firewall-cmd --set-default-zone=public
]# firewall-cmd --get-default-zone
虚拟机desktop
]# firefox 172.25.0.11 #失败
]# firefox ftp://172.25.0.11 #失败
虚拟机server
]# firewall-cmd --zone=public --list-all #查看区域策略
]# firewall-cmd --zone=public --add-service=ftp #添加协议
]# firewall-cmd --zone=public --add-service=http #添加协议
]# firewall-cmd --zone=public --list-all #查看区域策略
虚拟机desktop
]# firefox 172.25.0.11 #成功
]# firefox ftp://172.25.0.11 #成功
互联网常见的协议:
http:超文本传输协议 默认端口: 80
https:安全的超文本传输协议 默认端口: 443
ftp:文件传输协议 默认端口: 21
tftp:简单文件传输协议 默认端口: 69
DNS:域名解析协议 默认端口: 53
telnet:远程管理协议 明文 默认端口: 23
smtp:邮件协议(发邮件) 默认端口: 25
ssh 加密 22
pop3:邮件协议(收邮件) 默认端口: 110
snmp:简单的网络管理协议 默认端口: 161
#######################################################
区域中添加允许的服务或协议(永久设置)
– 永久(–permanent)
]# firewall-cmd --reload #重新加载防火墙所有策略
]# firewall-cmd --zone=public --list-all #查看区域策略
]# firewall-cmd --permanent --zone=public --add-service=http
]# firewall-cmd --reload
]# firewall-cmd --zone=public --list-all #查看区域策略
]# firewall-cmd --permanent --zone=public --add-service=ftp
]# firewall-cmd --reload
]# firewall-cmd --zone=public --list-all
#######################################################
了解:
单独拒绝虚拟机desktop(172.25.0.10)进行访问本机所有服务
]# firewall-cmd --zone=block --add-source=172.25.0.10
]# firewall-cmd --zone=block --list-all
#######################################################
实现本机的端口映射(端口转发)
数据包:源IP地址 目标IP地址 数据 目标端口号
端口:编号 标识主机上服务或协议 可以找到相应的程序
端口编号可以有root修改, 一个程序或服务具有多个端口
IP地址:唯一标识一台主机 让一台主机找到另一台主机
剪头发--------->爆炸头
地址-------->NB理发店 IP地址寻找
8号-------->理发师 端口
端口转发
• 本地应用的端口重定向(端口1 --> 端口2)
– 从客户机访问 5423 的请求,自动映射到本机 80
– 比如,访问以下两个地址可以看到相同的页面:
172.25.0.11:5423--------->172.25.0.11:80
虚拟机server:
]# firewall-cmd --permanent --zone=public
–add-forward-port=port=5423:proto=tcp:toport=80
]# firewall-cmd --reload //重载配置
]# firewall-cmd --zone=public --list-all
虚拟机desktop
]# firefox 172.25.0.11
]# firefox 172.25.0.11:5423
####################################################