一、SELinux安全上下文
1. 简介:是Linux内核的强制访问控制(MAC)安全子系统,遵循最小权限原则,基于标签进行访问控制。有Enforcing、Permissive、Disabled三种工作模式。
2. 基础操作命令 - 查看状态:`getenforce`查看当前模式,`sestatus`查看详细状态。
- 切换模式:`setenforce 0`切换到Permissive模式,`setenforce 1`切换到Enforcing模式,永久修改需编辑`/etc/selinux/config`文件。
3. 安全上下文操作 - 查看:`ls -Z`查看文件/目录上下文,`ps -Z -C`查看进程上下文。 - 修改:使用`chcon`命令,如`chcon -t httpd_sys_content_t /var/www/html/index.html`;使用`semanage`命令管理策略,如`semanage port -a -t http_port_t -p tcp 8080`。
4. 布尔值操作:`getsebool -a | grep httpd`查看布尔值,`setsebool -P httpd_enable_homedirs=on`启用布尔值(永久生效)。
5. 日志分析与故障排除:`tail -f /var/log/audit/audit.log`查看原始日志,`ausearch -m AVC -ts recent`过滤日志,`audit2allow`生成解决方案。
6. 常见问题解决:Web服务器无法访问文件检查并修复上下文;服务无法绑定非标准端口添加端口到SELinux策略。
7. 注意事项:不随意禁用,谨慎使用`chcon`,修改策略前备份`/etc/selinux`目录。
二、Linux防火墙 - Firewalld
1. 概述:防火墙按表现形式分为软件和硬件,按技术分为包过滤和七层防火墙,作用是阻止攻击和流量控制。
2. Linux防火墙结构 - 用户态:`iptables`需理解四表五链;`firewalld`采用区域划分,使用`firewall-cmd`管理;`ufw`命令简单。 - 内核态:四表为`raw`、`mangle`、`nat`、`filter`;五链为`input`、`output`、`forward`、`prerouting`、`postrouting`。
3. firewalld防火墙 - 区域分类:有block、dmz、drop等九大区域。 - 区域功能:各区域有不同的默认规则和放行策略。 - `firewall-cmd`命令用法:有查看、添加、修改、删除、保存规则等操作,如`firewall-cmd --add-service=http --zone=public`。
4. 课后实验:根据给定拓扑,要求配置策略实现内部客户端访问外部、访问WEB服务器、禁止外部客户端某些操作等。
三、Linux防火墙 - Iptables
1. 概述:是用户空间程序,用于管理内核级防火墙,具有高效、灵活、易学习和拓展性强的特点。 2. **组成** - **表**:常用`raw`、`mangle`、`nat`、`filter`表,优先级为`raw > mangle > nat > filter`。 - **链**:包括`INPUT`、`OUTPUT`、`FORWARD`、`PREROUTING`、`POSTROUTING`链。 - 数据包过滤流程:入站、转发、出站数据包有不同的过滤流程和匹配策略。
3. 防火墙配置- `iptables`命令:语法为`iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]`。 - 常用管理选项:如`-A`追加规则、`-I`插入规则等。 - 常用控制类型:如`ACCEPT`允许、`DROP`丢弃等。 - 匹配条件:如`-p`指定协议、`-s`指定源IP等。 - 命令操作:包括添加、查看、删除、清空、修改规则等操作。
4. 规则匹配 - 通用匹配:包括协议、地址、接口匹配。 - 隐含匹配:如端口匹配需配合协议指定使用。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
