Linux基础 - 系统安全(SELinux与Firewalld)
博客主页: Passerby_Wang的博客_CSDN博客-系统运维,云计算,Linux基础领域博主
所属专栏:『Linux基础』
上期文章: Linux基础-日志管理
如觉得博主文章写的不错或对你有所帮助的话,还望大家多多支持呀! 关注、点赞、收藏、评论。
目录
一、SELinux概述
二、SELinux的运行模式
1、三种模式
2、相关命令
1)查询
2)切换模式
3、实例
1)查询
2)切换
三、Firewalld概述
四、防火墙体系
1、介绍
2、预设安全区域
1)根据所在的网络场所区分,预设保护规则集
2)配置规则的位置
3、查看防火墙规则列表
1)命令
2)实例
4、指定默认的安全区域
1)命令
2)实例
5、管理方式
1)网段管理
2)服务管理
3)端口管理
一、SELinux概述
SELinux全称“Security-Enhanced Linux”,是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。
二、SELinux的运行模式
1、三种模式
Enforcing(强制)
Permissive(宽松)
Disabled(彻底禁用)
2、相关命令
1)查询
getenforce
2)切换模式
临时切换:setenforce 1|0 (1代表Enforcing,0代表Permissive)
永久配置:/etc/selinux/config文件
3、实例
1)查询
[root@wangwu ~]# getenforce
Enforcing2)切换
临时切换
[root@wangwu ~]# setenforce 0
[root@wangwu ~]# getenforce
Permissive[root@wangwu ~]# setenforce 1
[root@wangwu ~]# getenforce
Enforcing永久配置
[root@wangwu ~]# cat /etc/sysconfig/selinux
# This file controls the state of SELinux on the system.
... ... ...
SELINUX=enforcing
... ... ...
SELINUXTYPE=targeted[root@wangwu ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
[root@wangwu ~]# cat /etc/sysconfig/selinux
# This file controls the state of SELinux on the system.
... ... ...
SELINUX=disabled
... ... ...
SELINUXTYPE=targeted[root@wangwu ~]# reboot
[root@wangwu ~]# getenforce
Disabled三、Firewalld概述
RHEL 7系统中集成了多款防火墙管理工具,其中firewalld全称“Dynamic Firewall Manager of Linux systems”,是Linux系统的动态防火墙管理器,服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
四、防火墙体系
1、介绍
系统服务:firewalld
管理工具:firewall-cmd、firewall-config
2、预设安全区域
1)根据所在的网络场所区分,预设保护规则集
| 区域 |
描述 |
| block(限制) |
任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm- prohibited 信息所拒绝 |
| dmz(非军事区) |
用于非军事区内的电脑,此区域内可公开访问,可以有限地逬入您的内部网络,仅仅接收经过选择的连接 |
| drop(丟弃) |
任何接收的网络数据包都被丟弃,没有任何回复,仅能有发送出去的网络连接 |
| external(外部) |
特别是为路由器启用了伪装功能的外部网,您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接 |
| home(家庭) |
用于家庭网络,您可以基本信任网络内的其他计算机不会危害您的计算机,仅仅接收经过选择的连接 |
| internal(内部) |
用于内部网络,您可以基本上信任网络内的其他计算机不会威胁您的计算机,仅仅接受经过选择的连接 |
| public(公共) |
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接 |
| trusted(信任) |
可接受所有的网络连接 |
| work(工作) |
用于工作区,您可以基本相信网络内的其他电脑不会危害您的电脑,仅仅接收经过选择的连接 |
2)配置规则的位置
运行时(runtime)
永久(permanent)
3、查看防火墙规则列表
1)命令
firewall-cmd --list-all #显示当前区域的网卡配置参数、资源、端口以及服务等信息
firewall-cmd --list-all-zones #显示所有区域的网卡配置参数、资源、端口以及服务等信息
firewall-cmd --list-all [--zone=区域名] #显示指定区域的网卡配置参数、资源、端口以及服务等信息
firewall-cmd --get-zones #查询默认的区域名称
firewall-cmd --get-services #显示预先定义的服务
firewall-cmd --get-default-zone #查询默认的区域名称
2)实例
[root@wangwu ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
... ... ...[root@wangwu ~]# firewall-cmd --list-all-zones
block
target: %%REJECT%%
icmp-block-inversion: no
... ... ...
dmz
target: default
icmp-block-inversion: no
... ... ...
drop
target: DROP
icmp-block-inversion: no
... ... ...
external
target: default
icmp-block-inversion: no
... ... ...
home
target: default
icmp-block-inversion: no
... ... ...
internal
target: default
icmp-block-inversion: no
... ... ...
public (active)
target: default
icmp-block-inversion: no
... ... ...
trusted
target: ACCEPT
icmp-block-inversion: no
... ... ...
work
target: default
icmp-block-inversion: no
... ... ...[root@wangwu ~]# firewall-cmd --list-all --zone=public
public (active)
target: default
icmp-block-inversion: no
... ... ...[root@wangwu ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work[root@wangwu ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client ... ... ... xmpp-server[root@wangwu ~]# firewall-cmd --get-default-zone
public4、指定默认的安全区域
1)命令
使用“firewall-cmd --set-default-zone=区域名”,针对“运行时/永久配置”均有效
2)实例
[root@wangwu ~]# firewall-cmd --get-default-zone #默认为public,限制较严格
public
[root@wangwu ~]# firewall-cmd --set-default-zone=trusted
success
#对于开放式环境,建议将默认区域修改为trusted
[root@wangwu ~]# firewall-cmd --get-default-zone #修改成功
trusted5、管理方式
1)网段管理
命令
firewall-cmd --permanent --zone=区域 --add-source=网段地址
实例
[root@wangwu ~]# firewall-cmd --permanent --zone=block --add-source=192.168.6.0/24
#添加192.168.6.0网段到限制区域(block),针对“永久配置”,需添加 --permanent
[root@wangwu ~]# firewall-cmd --reload
#在不改变状态的条件下重新加载防火墙2)服务管理
命令
firewall-cmd --permanent --zone=区域 --add-service=服务名
实例
[root@wangwu ~]# firewall-cmd --permanent --zone=public --add-service=http
#添加http服务到公共区域(public)
[root@wangwu ~]# firewall-cmd --reload
#在不改变状态的条件下重新加载防火墙3)端口管理
命令
firewall-cmd --permanent --add-port=端口/协议
实例
firewall-cmd --permanent --add-port=8080/tcp
#永久打开8080/TCP端口