網路安全管理【Linux-shell】
阿新 • • 發佈:2018-12-24
網路安全管理:
作業系統安全主要基於:控制和隔離。
訪問控制涉及3方面:主體、客體、控制機制。
SELinux:是Linux中的一個核心安全模組,它提供了另外一種被稱為強制訪問控制(MAC)的安全機制,目的是為了消除因單一使用自主訪問控制(DAC)而導致的潛在系統安全隱患。
cat /proc/l/attr/current #檢視init程序的安全上下文
ps -Z #檢視程序的安全上下文
cat /etc/selinux/config #SELinux的基本配置檔案
sestatus [選項】:檢視SELinux當前的狀態資訊
-v: 檢查"/etc/sestatus.conf"中所列的檔案及程序的安全上下文
-b:列出當前策略下的布林值啟動狀態(on或off)
getenforce #檢視當前SELinux所處工作模式
setenforce 0 #切換為寬容模式
setenforce 1 #切換為強制模式
chkconfig --list auditd #檢視auditd服務是否已啟用
#審計日誌資訊在/var/log/audit/audit.log
sealert 【選項】:查閱利用SELinux日誌的輔助服務setroubleshoot,守護程序setroubleshootd監聽SELinux發出的審計事件記錄在日誌檔案/var/log/message;sealrt---setroubleshoot服務向用戶提供的具有圖形化使用者介面以及命令列形式的日誌分析工具。
-a: 掃描日誌檔案並分析其中的AVC型別事件。對於SELinux,後加日誌檔案路徑引數。
-l:根據id查閱事件的詳細資訊。
yum install setools #安裝查閱設定SELinux策略及其規則服務
seinfo 【選項】 【策略檔案】:查詢指定策略檔案的組成資訊
-u:列出SELinux的所有使用者
-r:列出SELinux的所有角色
-t:列出SELinux的所有型別
-b:列出策略中所包括的規則
seinfo
sesearch 【規則型別】 【選項】 【SELinux策略】:在SELinux策略中搜索規則。
-t: 根據客體的型別引數查詢規則
-s:根據主體的型別引數查詢規則
-b:根據布林值引數查詢規則
getsebool 【選項】 【SELinux布林值】:獲取SELinux的布林值
-a:列出SELinux布林值的設定情況
setsebool 【選項】 SELinux布林值on/off:設定SELinux布林值
-P:預設不使用該選項,將不會把布林值寫入策略檔案
chcon 【選項】 【檔案路徑】:修改檔案安全上下文
-t:後加引數用於設定檔案安全上下文中的型別
-r:後加引數用於設定檔案安全上下文的角色
-u:後加引數用於設定檔案安全上下文的使用者
--reference=FILE:將按照FILE的安全上下文設定
----------------------------------------------------------------------------------------------
linux包過濾防火牆系統:
netfilter和iptables。
netfilter:由Linux核心模組提供,負責包過濾、網路地址轉換和埠轉換等功能。
iptables:一個使用者程式,負責提供介面介面讓系統管理員配置來自於netfilter的表及其儲存的鏈和規則。
Linux防火牆需要啟動iptables系統服務來完成。
sudo service iptables start
iptables 【表格指定】 命令選項 【匹配條件】 【目標】:防火牆的管理
1)表格指定:使用-t選項並給出filter,nat或mangle等引數來指定當前所要操作的表。
2)匹配條件表示
-s:源地址
-d:目標地址
-p:協議名
--sport:源埠
--dport:目標埠
3)目標表示
4)命令選項:
-L:後加資料鏈名稱引數,檢視指定資料鏈的所有規則。
配合引數-line-numbers顯示結果中的規則編號
-I:在指定鏈路中的某個位置插入一條或多條規則
-R:重置指定鏈路中的某條規則
-D:在指定鏈路中刪除刪除指定的一條或多條規則
-A:在指定鏈路末尾附加一條規則
-P:在指定鏈路中設定預設策略
------------------------------------------------------------------------------------------------
利用SELinux控制訪問vsftpd(very secure ftp)服務:
sudo yum install vsftpd #安裝ftp伺服器軟體
sudo service vsftpd start #開啟服務ftp
iptables -L INPUT
iptables -I INPUT 1 -p tcp --dport 21 -j ACCEPT #增加開放FTP服務的規則
getenforce #是否設定為強制模式
setenforce 1 #若沒有,則設定強制模式
ftp ip地址 # ftp 192.168.126.128
------>匿名身份登入anonymous # /var/ftp/---作為根/
setsebool ftp_home_dir on #設定FTP伺服器,使用者可登陸到使用者的家目錄
getsebool ftp_home_dir
tail /var/log/messages #檢視日誌資訊新記錄。前提已安裝setroubleshoot軟體
grep AVC /var/log/audit/audit.log #檢視相關日誌記錄,審計
-------------------------------------------------------------------------------------------------------
利用nmap軟體檢查防火牆設定:
nmap -sS [被掃描的主機IP地址】 #掃描主機的所有開放埠,被掃描的主機已開啟防火牆。前提nmap已安裝並開啟服務
iptables -I INPUT 1 -s 192.168.126.128 -j DROP # 被掃描的主機增加防火牆規則遮蔽攻擊方的訪問。攻擊方IP地址192.168.126.128
ping 【被掃描的主機IP地址】
nmap -sS [被掃描的主機IP地址】
nmap -p21 [被掃描的主機IP地址】 #針對FTP服務掃描埠21
nmap -sS [被掃描的主機IP地址】 -S 【偽造的源地址IP】 -e eth0
ifconfig eth0 【偽造的源地址IP】 netmask 255.255.255.0
ping 【被掃描的主機IP地址】