Linux云计算 |【第一阶段】ENGINEER-DAY5

主要内容：

SELinux、系统故障修复、HTTPD/FTP服务搭建、防火墙策略管理、服务管理

一、SELinux安全制度

SELinux（Security-Enhanced Linux），美国NSA国家安全局主导开发，一套增强Linux系统安全的强制访问控制体系，集成到Linux内核(2.6及以上)中运行，RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略及管理工具；

• [ Permissives ] 宽松
• [ Enforcing ]  强制
• [ Disabled ]  彻底禁用，丧失100%

注意：任何模式变成disabled模式，都要经历重启系统

1）SELinux切换模式：

• 查看当前运行模式：getenforce
• 临时切换运行模式：setenforce 1|0     （1代表：Enforcing，0代表Permissive）

配置文件：/etc/selinux/config      //影响下一次开机，重启生效（类似/etc/hostname）

例如：

[root@svr7 ~]# setenforce 1     //临时切换运行模式
[root@svr7 ~]# getenforce       //查看当前运行模式
Enforcing
[root@svr7 ~]# setenforce 0
[root@svr7 ~]# getenforce
Permissive

例如：

[root@svr7 ~]# vim /etc/selinux/config    //修改配置文件
[root@svr7 ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive    //修改默认区域
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

二、构建Web服务

Web服务提供一个页面内容的服务

• 提供Web服务的软件：Httpd、Nginx（支持并发访问量优秀）、Tomcat（Java）
• Http协议：超文本传输协议（httpd，d表示：daemon进程）
• Httpd默认存放页面路径：/var/www/html/    //安装httpd软件包自动生成路径
• 默认索引页面文件： index.html

1）运行提供web服务程序

提前检查软件包

[root@svr7 ~]# yum -y install httpd      //安装httpd软件包
[root@svr7 ~]# rpm -q httpd
httpd-2.4.6-80.el7.centos.x86_64
 
[root@pc207 ~]# curl http://192.168.4.7   //不运行执行程序则报错
curl: (7) Failed connect to 192.168.4.7:80; 拒绝连接
[root@svr7 ~]# which httpd    //服务安装完软件包后要运行程序
/usr/sbin/httpd
[root@svr7 ~]# /usr/sbin/httpd     //绝对路径运行程序
 
[root@svr7 ~]# vim /var/www/html/index.html    //编写页面文件
[root@svr7 ~]# cat /var/www/html/index.html
<h1> hello world       //<h1>：标题字体
[root@svr7 ~]# ls /var/www/html/
index.html
[root@svr7 ~]# curl http://192.168.4.7
<h1> hello world

使用火狐浏览器打开：# firefox http://192.168.4.7

---

补充：Curl命令

Curl是常用的命令行工具，用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思（支持HTTP、HTTPS、FTP、FTPS、DICT、TELNET、LDAP、FILE等协议）

作用：支持文件上传和下载，所以是综合传输工具

格式：curl [选项...]

常用选项：

• [-l]  只获得对方的响应首部信息
• [-v]  显示一次HTTP请求的通信过程

三、构建FTP服务

FTP服务：文本传输协议，传输内容

实现FTP服务功能的软件：vsftpd

默认共享数据的主目录：/var/ftp/

1）运行提供FTP服务程序

提前检查软件包

[root@svr7 ~]# yum -y install vsftpd    //安装vsftpd软件包
[root@svr7 ~]# rpm -q vsftpd
vsftpd-3.0.2-22.el7.x86_64
 
[root@svr7 ~]# curl ftp://192.168.4.7     //不运行执行程序则报错
curl: (7) Failed connect to 192.168.4.7:21; 拒绝连接
[root@svr7 ~]# which vsftpd
/usr/sbin/vsftpd
[root@svr7 ~]# /usr/sbin/vsftpd      //绝对路径运行程序
 
[root@svr7 ~]# ls /var/ftp/     //查看目录内容
pub
[root@svr7 ~]# touch /var/ftp/1.txt      //创建文件
[root@svr7 ~]# curl ftp://192.168.4.7
-rw-r--r--    1 0        0               0 Mar 12 03:30 1.txt
drwxr-xr-x    2 0        0               6 Aug 03  2017 pub

四、Firewalld防火墙策略管理

作用：隔离，严格按照策略规则过滤入站、放行出站

防火墙类型：硬件防火墙（Huawei E800）、软件防火墙（360、卡巴斯基）

系统服务：firewalld    //开机自启

管理工具：firewall-cmd、firewall-config（图形工具）

1、预设安全区域

根据所在的网络场所区分，预设保护规则集

• [ public ]  仅允许访问本机的sshd、dhcp、ping等少数几个服务
• [ trusted ]  允许任何访问
• [ block ]  拒绝任何来访请求。明确拒绝并回应
• [ drop ]  丢弃任何来访的数据包，不给任何回应

配置规则的位置：

1. （runtime）  运行时
2. （permanent）  永久

2、查看防火墙规则列表

列表查看操作命令：

• 命令：firewall-cmd --list-all [--zone=区域名] //查看当前区域规则信息
• 命令：firewall-cmd --list-all-zones //查看所有区域规则信息
• 命令：firewall-cmd --get-zones   //查看防火墙有哪些区域
• 命令：firewall-cmd --get-services   //查看防火墙有哪些服务<