主要内容:
SELinux、系统故障修复、HTTPD/FTP服务搭建、防火墙策略管理、服务管理
一、SELinux安全制度
SELinux(Security-Enhanced Linux),美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系,集成到Linux内核(2.6及以上)中运行,RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略及管理工具;
- [ Permissives ] 宽松
- [ Enforcing ] 强制
- [ Disabled ] 彻底禁用,丧失100%
注意:任何模式变成disabled模式,都要经历重启系统
1)SELinux切换模式:
- 查看当前运行模式:getenforce
- 临时切换运行模式:setenforce 1|0 (1代表:Enforcing,0代表Permissive)
配置文件:/etc/selinux/config //影响下一次开机,重启生效(类似/etc/hostname)
例如:
[root@svr7 ~]# setenforce 1 //临时切换运行模式
[root@svr7 ~]# getenforce //查看当前运行模式
Enforcing
[root@svr7 ~]# setenforce 0
[root@svr7 ~]# getenforce
Permissive
例如:
[root@svr7 ~]# vim /etc/selinux/config //修改配置文件
[root@svr7 ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive //修改默认区域
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
二、构建Web服务
Web服务提供一个页面内容的服务
- 提供Web服务的软件:Httpd、Nginx(支持并发访问量优秀)、Tomcat(Java)
- Http协议:超文本传输协议(httpd,d表示:daemon进程)
- Httpd默认存放页面路径:/var/www/html/ //安装httpd软件包自动生成路径
- 默认索引页面文件: index.html
1)运行提供web服务程序
提前检查软件包
[root@svr7 ~]# yum -y install httpd //安装httpd软件包
[root@svr7 ~]# rpm -q httpd
httpd-2.4.6-80.el7.centos.x86_64
[root@pc207 ~]# curl http://192.168.4.7 //不运行执行程序则报错
curl: (7) Failed connect to 192.168.4.7:80; 拒绝连接
[root@svr7 ~]# which httpd //服务安装完软件包后要运行程序
/usr/sbin/httpd
[root@svr7 ~]# /usr/sbin/httpd //绝对路径运行程序
[root@svr7 ~]# vim /var/www/html/index.html //编写页面文件
[root@svr7 ~]# cat /var/www/html/index.html
<h1> hello world //<h1>:标题字体
[root@svr7 ~]# ls /var/www/html/
index.html
[root@svr7 ~]# curl http://192.168.4.7
<h1> hello world
使用火狐浏览器打开:# firefox http://192.168.4.7
补充:Curl命令
Curl是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思(支持HTTP、HTTPS、FTP、FTPS、DICT、TELNET、LDAP、FILE等协议)
作用:支持文件上传和下载,所以是综合传输工具
格式:curl [选项...]
常用选项:
- [-l] 只获得对方的响应首部信息
- [-v] 显示一次HTTP请求的通信过程
三、构建FTP服务
FTP服务:文本传输协议,传输内容
实现FTP服务功能的软件:vsftpd
默认共享数据的主目录:/var/ftp/
1)运行提供FTP服务程序
提前检查软件包
[root@svr7 ~]# yum -y install vsftpd //安装vsftpd软件包
[root@svr7 ~]# rpm -q vsftpd
vsftpd-3.0.2-22.el7.x86_64
[root@svr7 ~]# curl ftp://192.168.4.7 //不运行执行程序则报错
curl: (7) Failed connect to 192.168.4.7:21; 拒绝连接
[root@svr7 ~]# which vsftpd
/usr/sbin/vsftpd
[root@svr7 ~]# /usr/sbin/vsftpd //绝对路径运行程序
[root@svr7 ~]# ls /var/ftp/ //查看目录内容
pub
[root@svr7 ~]# touch /var/ftp/1.txt //创建文件
[root@svr7 ~]# curl ftp://192.168.4.7
-rw-r--r-- 1 0 0 0 Mar 12 03:30 1.txt
drwxr-xr-x 2 0 0 6 Aug 03 2017 pub
四、Firewalld防火墙策略管理
作用:隔离,严格按照策略规则过滤入站、放行出站
防火墙类型:硬件防火墙(Huawei E800)、软件防火墙(360、卡巴斯基)
系统服务:firewalld //开机自启
管理工具:firewall-cmd、firewall-config(图形工具)
1、预设安全区域
根据所在的网络场所区分,预设保护规则集
- [ public ] 仅允许访问本机的sshd、dhcp、ping等少数几个服务
- [ trusted ] 允许任何访问
- [ block ] 拒绝任何来访请求。明确拒绝并回应
- [ drop ] 丢弃任何来访的数据包,不给任何回应
配置规则的位置:
- (runtime) 运行时
- (permanent) 永久
2、查看防火墙规则列表
列表查看操作命令:
- 命令:firewall-cmd --list-all [--zone=区域名] //查看当前区域规则信息
- 命令:firewall-cmd --list-all-zones //查看所有区域规则信息
- 命令:firewall-cmd --get-zones //查看防火墙有哪些区域
- 命令:firewall-cmd --get-services //查看防火墙有哪些服务<