linux的SELinux的設置及防火墻服的設置
security-Enhanced linux
美國NSA國家局主導開發,一套增強Linux系統安全的強制訪問控制體系,
集成到Linux內核(2.6及以上)中運行。
RHEL7基於SELinux體系針對用戶、進程、目錄和文件提供了預設的保護策略,
以及管理工具。
SELinux的運行模式
enforcing(強制)
permissive(寬松)
disabled(徹底禁用)
getenforce 查看當前SElinux狀態
setenforce 0 或 1 設置當前SELinux狀態
永久配置:vim /etc/selinux/config
SELINUX=premissive
防火墻策略管理(Firewall)
作用: 隔離
阻止進內網,允許出外網
系統服務器:firewalld
管理工具: firewall-cmd(命令)
firewall-cmd(圖形)
查看防火墻服務狀態
systemctl status firewalld.service
根據所在的網絡場所區分,預設保護規則集。
public:僅允許訪問本機的sshd等少數幾個服務。
trusted:允許任何訪問。
block:拒絕任何來訪請求。
drop:丟棄任何來訪的數據。
防火墻判斷的規則:匹配及停止。
1.首先看請求(客戶端)當中的源IP地址,所有區域中是否有
對於該IP地址的策略,如果有則該請求進入該區域。
2.直接進入默認區域。
firewall-cmd --zone=public --list-all 查看區域規則信息
firewall-cmd --zone=public --add-service=http 添加服務
--permanent 選項:實現永久設置
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --reload 重新加載防火墻
修改默認的區域,不需要加上--permanent
firewall-cmd --set-default-zone=block 修改默認區域
firewall-cmd --get-default-zone 查看默認區域
實現本機的端口映射
本地應用的端口重定向(端口1---》端口2)
從客戶機訪問端口1的請求,自動映射到本機端口2。
例:訪問兩個地址可以看到相同的頁面
firefox http://172.25.0.11:5423--->172.25.0.11:80
firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80
firewall-cmd --reloa
linux的SELinux的設置及防火墻服的設置