zoukankan      html  css  js  c++  java
  • 系统安全保护 、 配置用户环境 、 配置高级连接 、 防火墙策略管理

    【系统安全保护 、 配置用户环境 、 配置高级连接 、 防火墙策略管理】

    【系统安全保护】

    『SELinux安全机制』
    Security-Enhanced Linux
    美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
    集成到Linux内核(2.6及以上)中运行
    RHEL7基于SELinux体系针对用户、进程、目录和文件
    提供了预设的保护策略,以及管理工具

    SELinux的运行模式
    enforcing 强制启用
    permissive 宽松启用
    disabled 彻底禁用
    临时切换模式
    setenforce 1 临时切换为enforcing状态
    setenforce 0 临时切换为permissive状态
    getenforce 查看当前状态

    固定配置(reboot生效)
    /etc/selinux/config
    --->
    SELINUX=enforcing 设为强制启用
    --->
    reboot 重启生效
    【配置用户环境】

    『自定义命令』
    定义别名
    alias 名称='执行的命令行'
    取消别名
    unalias [名称]
    查看别名
    alias [名称]

    『用户初始化文件』
    用户个性化配置
    ~/.bashrc ~student/bashrc 仅对student有效
    影响指定用户,每次开启bash终端生效
    全局配置
    /etc/bashrc
    影响所有用户,每次开启bash终端生效

    【配置高级连接】

    『配置IPv6地址』
    IPv4 地址表示
    --32个二进制位,点分隔的十进制数
    --172.25.0.11、127.0.0.1
    IPv6 地址表示
    --128个二进制为,冒号分隔的十六进制数
    --每段内连续的前置0可省略、连续的多个:可简化为::
    2003:ac18:0000:0000:0000:0000:0000:0305
    ---> 2003:ac18::305/64

    基本配置方法
    1.修改连接参数
    nmcli con show 获取连接名
    --->
    NAME DEVICE
    System eth0 eth0
    连接名 网卡名
    nmcli connection modify "System eth0" ipv6.method
    manual ipv6.addresses "2003:ac18::305/64"

    2.激活连接(必要时先down再up)
    nmcli connection up "System eth0"
    查看IPv6地址
    ifconfig eth0 | grep inet6
    『配置聚合连接』

    链路聚合的优势
    team,聚合连接(也称为链路聚合)
    --由多块网卡(team-slave)一起组建而成的虚拟网卡,即“组队”
    --作用1:轮询式(roundrobin)的流量负载均衡
    --作用2:热备份(activebackup)连接冗余
    实现链路聚合条件
    2块或2快以上的物理网卡
    查询网卡 ifconfig -a | grep ^eth
    配置聚合连接

    HSRP 活跃路由器 备份路由器
    虚拟路由器
    eth1 eth2
    聚合连接 team(192.168.1.1)

    1.新建聚合连接
    ---类型、连接名、运行器
    nmcli con add con-name team0 type team ifname team0
    config '{ "runner":{ "name":"activebackup" } }'
    技巧---> man teamd.conf ,按G到全文的最后,向上找EXAMPLES,
    复制"runner": {"name": "activebackup"}
    2.配置IPv4地址
    --连接名、IP地址
    nmcli con mod team0 ipv4.method manual
    ipv4.addresses '172.16.3.20/24' connection.autoconnect yes
    3.新建聚合成员连接
    ---类型、连接名、主连接
    nmcli con add con-name team0-p1 type team-slave
    ifname eth1 master team0
    nmcli con add con-name team0-p2 type team-slave
    ifname eth2 master team0
    4.激活聚合连接
    1)激活聚合连接
    nmcli connection up team0
    2)激活聚合成员连接
    nmcli connection up team0-p1
    nmcli connection up team0-p2
    5.确认聚合连接状态
    1)查看聚合连接地址
    ifconfig team0
    2)查看聚合连接运行状态
    teamdctl team0 state ---> activebackup

    【防火墙策略管理】
    『防火墙配置』
    --系统服务:firewalld
    --管理工具:firewall-cmd、firewall-config

    查看列表
    firewall-cmd --list-all [--zone=区域名]
    firewall-cmd --list-all-zones
    firewall-cmd --get-zones
    firewall-cmd --get-services
    查看状态
    firewall-cmd --get-default-zone
    设置状态
    firewall-cmd --set-default-zone=?
    public 允许部分,sshd等
    trusted 允许所有
    block 阻塞所有
    drop 丢弃所有
    指定默认的安全区域
    firewall-cmd --set-default-zone=区域名
    默认public,限制严格
    对于开放式环境,推荐修改默认区域为trusted
    封锁IP网段
    firewall-cmd --permanent --zone=block --add-source=网段
    开服务http
    firewall-cmd --permanent --zone=public --add-service=http
    开服务ftp
    firewall-cmd --permanent --zone=public --add-service=ftp
    重载配置
    firewall-cmd --reload
    语句的删除
    add ---> remove

    端口映射配置
    1.启用防火墙服务
    systemctl restart firewalld
    systemctl enable firewalld
    2.默认设置trusted
    firewall-cmd --set-default-zone=trusted
    2.封网段
    firewall-cmd --permanent --zone=block --add-
    source=172.35.0.0/24
    firewall-cmd --reload
    3.配置端口转发---5423--->80
    1)服务端准备测试网站
    装包 yum -y install httpd
    网页 vim /var/www/html/index.html
    起服务 systemctl restart httpd
    2)客户端访问测试
    装包 yum -y install elinks
    访问 elinks -dump http://server0.example.com/
    3)配置端口转发
    firewall-cmd --permanent --zone=trusted --
    add-forward-port=port=5423:proto=tcp:toport=80
    firewall-cmd --reload
    4.验证端口转发策略
    elinks -dump http://server0.example.com:5423/
    elinks -dump http://server0.example.com/
    firefox http://server0.example.com/

    FTP共享服务
    vsftpd 默认FTP共享路径:/var/ftp

    防火墙判断的规则,匹配及停止
    1.首先看客户端请求中的源IP地址,查询所有区域中是那个区域有该源IP地址的策略,然后进入该区域
    2.进入默认区域
    典型的应用方式:
    严格,方式1:将默认区域保持为block,针对需要放行的访问在trusted区域添加策略
    宽松,方式2:将默认区域保持为trusted,针对需要阻止的访问在block区域添加策略

  • 相关阅读:
    面向对象之魔术方法
    装饰器和单例模式练习
    装饰器练习
    扩展数据类型练习
    Vlan的 tag 和 untagged
    【转】OSI 七层模型和TCP/IP模型及对应协议(详解)
    性能测试的相关概念和指标。
    Python接口自动化之数据驱动
    Python接口自动化之登录接口测试
    Python接口自动化之unittest单元测试
  • 原文地址:https://www.cnblogs.com/fuzhongfaya/p/8952122.html
Copyright © 2011-2022 走看看