系統安全保護 配置用戶環境 配置高級連接 防火墻策略管理
? Security-Enhanced Linux
– 美國NSA國家安全局主導開發,一套增強Linux系統安
全的強制訪問控制體系
– 集成到Linux內核(2.6及以上)中運行
– RHEL7基於SELinux體系針對用戶、進程、目錄和文件
提供了預設的保護策略,以及管理工具
? SELinux的運行模式
– enforcing(強制)、permissive(寬松)
– disabled(徹底禁用)
任何狀態變成disabled(徹底禁用),都必須通過重起reboot? 切換運行模式
– 臨時切換:setenforce 1|0
– 固定配置:/etc/selinux/config 文件
兩臺虛擬機均做
[root@server0 ~]# getenforce
Enforcing
[root@server0 ~]# setenforce 0
[root@server0 ~]# getenforce
Permissive
[root@server0 ~]# vim /etc/selinux/config #下一次開機後生效
SELINUX=permissive
###############################################################
用戶初始化文件
? 影響指定用戶的 bash 解釋環境
– ~/.bashrc,每次開啟 bash 終端時生效
? 影響所有用戶的 bash 解釋環境
[root@server0 ~]# vim /root/.bashrc
alias hello=‘echo hello‘
[root@server0 ~]# vim /home/student/.bashrc
alias hi=‘echo hi‘
[root@server0 ~]# vim /etc/bashrc
alias haha=‘echo haha‘
root可以執行:
hello haha
student可以執行:
hi haha############################################################
配置聚合連接(網卡綁定、鏈路聚合)
作用:網卡設備的冗余
熱備份(activebackup)連接冗余
1.創建虛擬網卡team0 (參考 man teamd.conf) /example 全文搜索
nmcli connection add type team
con-name team0 ifname team0 autoconnect yes
config ‘{"runner": {"name": "activebackup"}}‘
nmcli connection 添加 類型為 team
配置文件名字 team0 ifconfig顯示的名字為 team0 每次開機自動啟用
配置 熱備份方式
2.添加成員
nmcli connection add type team-slave con-name team0-1 ifname eth1 master team0
nmcli connection add type team-slave con-name team0-2 ifname eth2 master team0
nmcli connection 添加 類型為 team的奴隸設備 配置文件名為 team0-1 奴隸的網卡名為 eth1 加入的組織為 team0
3.配置IP地址
[root@server0 ~]# nmcli connection modify team0 ipv4.method manual ipv4.addresses 192.168.1.1/24 connection.autoconnect yes
4.激活
nmcli connection up team0
nmcli connection up team0-1
nmcli connection up team0-2
5.驗證查看
teamdctl team0 state
ifconfig eth1 down
teamdctl team0 state
如果配置錯誤,可以從頭來,刪掉從新做
nmcli connection delete team0
nmcli connection delete team0-1
nmcli connection delete team0-2
#############################################################
ipv6地址配置
ip地址:唯一標識網絡中主機地址
ipv4地址:
32個二進制 分成4段 最後用 點 分隔 用10進制表示
ipv6地址:
128個二進制 分成8段 最後用 冒號 分隔 用16進制表示
每段內連續的前置 0 可省略、連續的多個 : 可簡化為 ::
虛擬機server0:
nmcli connection modify ‘System eth0‘ ipv6.method manual
ipv6.addresses 2003:ac18::305/64 connection.autoconnect yes
nmcli connection up ‘System eth0‘
ping6 2003:ac18::305
################################################################
搭建基本Web服務
服務端:虛擬機Server0
1.安裝一個可以提供Web功能軟件
[root@server0 ~]# yum -y install httpd
2.啟動httpd服務
[root@server0 ~]# systemctl restart httpd #重起httpd服務
[root@server0 ~]# systemctl enable httpd #設置httpd服務,開機自啟動
3.書寫自己的頁面文件
默認存放網頁文件的路徑:/var/www/html
默認網頁文件名字:index.html
[root@server0 ~]# vim /var/www/html/index.html
<marquee><font color=red><h1>NSD1801 萬歲 陽光明媚
客戶端:虛擬機Server0
[root@server0 ~]# firefox 172.25.0.11
搭建基本FTP服務(文件傳輸)
服務端:虛擬機Server
1.安裝一個可以提供FTP功能軟件
[root@server0 ~]# yum -y install vsftpd
2.啟動httpd服務
[root@server0 ~]# systemctl restart vsftpd #重起vsftpd服務
[root@server0 ~]# systemctl enable vsftpd #設置vsftpd服務,開機自啟動
3.默認vsftpd共享路徑: /var/ftp
客戶端:虛擬機Server
[root@server0 ~]# firefox ftp://172.25.0.11
##############################################################
防火墻策略的應用
隔離作用
允許出站,過濾入站硬件防火墻
軟件防火墻
RHEL7的防火墻體系
? 系統服務:firewalld
? 管理工具:firewall-cmd、firewall-config(圖形)
預設安全區域
? 根據所在的網絡場所區分,預設保護規則集
– public : 僅允許訪問本機的sshd等少數幾個服務
– trusted : 允許任何訪問
– block : 阻塞任何來訪請求 (明確回應拒絕)
– drop : 丟棄任何來訪的數據包 (沒有明確回應,直接丟棄)
防火墻的判斷規則:匹配及停止
1.客戶端請求中的來源IP地址,查看本身所有區域的規則,如果有一個區域規則有該IP地址的規則,則進入該區域
2.進入默認區域 (默認區域一般為public)
############################################################
默認區域的案例
虛擬機Server0:
[root@server0 ~]# firewall-cmd --get-default-zone #查看默認區域
虛擬機desktop0:
[root@desktop0 ~]# ping -c 2 172.25.0.11 #可以通行
虛擬機Server0:
[root@server0 ~]# firewall-cmd --set-default-zone=block #修改默認區域
[root@server0 ~]# firewall-cmd --get-default-zone
虛擬機desktop0:
[root@desktop0 ~]# ping -c 2 172.25.0.11 #不可以通信,有回應
虛擬機Server0:
[root@server0 ~]# firewall-cmd --set-default-zone=drop
[root@server0 ~]# firewall-cmd --get-default-zone
虛擬機desktop0:
[root@desktop0 ~]# ping -c 2 172.25.0.11 #不可以通信,沒有回應
################################################################
常見的協議:
http 超文本傳輸協議
https 安全的超文本傳輸協議
ftp 文件傳輸協議
tftp 簡單文件傳輸協議
telnet 遠程管理協議
dns 域名解析協議
smtp 郵件協議
pop3 收郵件協議
snmp 簡單的管理協議
服務案例
虛擬機Server0
[root@server0 ~]# firewall-cmd --set-default-zone=public
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看區域策略
虛擬機Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #不可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以
虛擬機Server0
[root@server0 ~]# firewall-cmd --zone=public --add-service=http #添加協議
[root@server0 ~]# firewall-cmd --zone=public --list-all
虛擬機Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以
虛擬機Server0
[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp
[root@server0 ~]# firewall-cmd --zone=public --list-all
虛擬機Desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
[root@desktop0 ~]# firefox ftp://172.25.0.11 #可以
############################################################
防火墻策略永久配置
– 永久(permanent)
虛擬機Server0
firewall-cmd --reload #重新加載防火墻所有配置
firewall-cmd --zone=public --list-all
firewall-cmd --permanent --zone=public --add-service=http #設置永久
firewall-cmd --zone=public --list-all
firewall-cmd --reload #重新加載防火墻所有配置
firewall-cmd --zone=public --list-all
#################################################################
防火墻對於客戶端源IP控制
拒絕172.25.0.10訪問本機的所有服務,其他客戶端都允許
虛擬機desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #可以
虛擬機Server0
firewall-cmd --zone=block --list-all
firewall-cmd --permanent --zone=block --add-source=172.25.0.10
firewall-cmd --reload success
firewall-cmd --zone=block --list-all
虛擬機desktop0
[root@desktop0 ~]# firefox 172.25.0.11 #不可以
##########################################################
系統安全保護 配置用戶環境 配置高級連接 防火墻策略管理