Linux安全防护(一)

最新推荐文章于 2023-02-15 14:39:10 发布
原创 最新推荐文章于 2023-02-15 14:39:10 发布 · 468 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SELinux #防火墙 #链路聚合

一、SELinux

1、Security-Enhanced Linux,由NSA主导开发,强制访问控制体系,运行在内核(2.6以上)中
2、运行模式  
    enforcing(强制)     permissive(宽松)    disabled(彻底禁用)
3、模式切换
    * 临时切换:setenforce 1|0     #1为强制,0为宽松    getenforce 查看运行模式
    * 永久配置:/etc/selinux/config(重启后生效)
4、三大策略:布尔值,安全上下文,非默认端口开放

二、配置用户环境

1、~./bashrc:影响指定用户; /etc/bashrc:影响全局用户     
 注意:新开Bash终端生效或者刷新文件:source  /etc/bashrc

三、防火墙策略管理

*   作用:隔离,进行过滤所有入站请求
*   数据包:源IP地址   目标IP地址  数据  目标端口
*   firewalld管理工具:firewall-cmd和firewall-config
    预设安全区域:
        public:仅允许访问本机的sshd、ping、dhcp服务
        trusted:允许所有访问
        block:阻塞任何来访请求(明确拒绝,回应客户端)
        drop:丢弃任何来访的数据包(直接丢弃,没有回应客户端,节省服务器资源)
    防火墙判定规则:
        1.首先查看客户端数据包中源IP地址,然后查看自己所有区域规则,哪个区域有该源IP地址的规则,则进入该区域
        2.进入默认区域(public)
     防火墙默认区域的修改
        firewall-cmd --get-default-zone          #查看默认区域
         firewall-cmd --get-active-zones        #查看活跃的区域
        firewall-cmd --set-default-zone=block   #更改默认区域,默认永久生效
     在区域中添加允许的协议
        firewall-cmd --zone=public --list-all        #查看public区域有哪些协议
        firewall-cmd --zone=public --add-service=ftp  #添加一条允许ftp的规则
     在区域中永久添加协议
        firewall-cmd --permanent --zone=public --add-service=ftp        
        firewall-cmd --reload   #重新加载配置文件中的所有规则 
*   单独拒绝172.25.0.10访问本机所有服务
        firewall-cmd --zone=block --add-source=172.25.0.10        
*   实现本机的端口映射(端口转发)
        端口:编号(可以由root修改,一个程序或服务具有多个端口),标识主机上的服务或协议,可以找到相应的程序     (举理发的例子,理发师编号)
        IP地址:唯一标识一台主机,让一台主机找到另一台主机              (理发店)
        端口转发:
    实例:客户机访问5423端口,自动映射到本机80端口
       firewall-cmd  --permanent  --zone=public --add-forward-port=port=5423:proto=tcp:toport=80

四、配置高级连接

1、配置IPv6地址
    128个二进制组成,以冒号隔开,用十六进制表示,分成8个部分,每部分4个16进制,一半为网络位,一半为主机位
    ping6 IPv6地址
2、配置聚合连接(链路聚合)
    *   作用:网卡备份,实现网卡设备的高可用
    *   两种工作方式:
         轮询式的流量负载均衡
         热备份(activebackup)连接冗余
    由多块网卡一起组建而成的虚拟网卡,即“组队”
    虚拟化一块网卡team0:
        *   生成虚拟的网卡(为连接提供配置(类型、连接名、运行器、IP地址)),  借助man teamd.conf查看帮助信息,查找EXAMPLE
            nmcli connection add type team con-name team0 ifname team0 autoconnect yes config  '{"runner":  {"name":  "activebackup"}}'
             ifconfig
             查看ifcfg-team0配置文件
        *   添加成员
            nmcli connection add type team-slave con-name team0-1 ifname eth1 master
            nmcli connection add type team-slave con-name team0-2 ifname eth2 master
        *   配置IP地址,激活team0、team0-1、team0-2
            teamdctl team0 state    #查看
        *   测试
             ifconfig eth2 down   或  nmcli connection down  team0-2  #关掉eth2
             teamdctl team0 state    #查看
Linux安全防护
悦分享
07-15 1198
Linux高级运维 L014-2019年尚硅谷Linux运维全套视频 (1.Linux运维学科--Linux基础知识&) 1.Linux运维学科--Linux基础知识 用户文件 正常500-60000 shell用户登录以后的权限,bin/bash能执行自己权限内所有权限 提示符$普通用户 实际密码 影子文件 日期与时间戳 组信息文件 useradd命令 修改密码 用户信息修改 删除用户
Linux 系统调优之安全防护1
最新发布
云端梦留白的博客
07-09 1461
系统以其开放性和强大的功能成为众多企业和开发者的首选。然而,开放性也带来了安全风险。本文将探讨Linux系统调优中的安全防护策略,分享并提供系列实用的优化措施,确保系统在高效运行的同时,也能抵御潜在的网络威胁,减少日常使用的安全隐患。
linux 安全防护
02-23
linux 系统安全防护实战演练,linux所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断 开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
linux服务器基本安全配置
davidliu0327的专栏
10-25 1453
安装注意 1.删除系统特殊的的用户帐号: 禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 #为删除你系统上的用户,用下面的命令: [root@c1gstudio]# userdel username #批量删除方式 #这里删除"adm lp syn
Linux密码安全防护操作详解
09-15
最后,学习和理解这些安全防护措施是非常必要的,它们可以帮助我们更好地保护Linux系统,避免不必要的数据损失或系统被非法访问。同时,持续关注最新的安全技术和威胁,以便随时更新我们的防护策略,保持系统安全。
Tailmon-EDR是Linux服务器安全防护软件.zip
05-21
出于安全考虑,Linux内核默认是禁止数据包路由转发的。在linux系统中,有临时和永久两种方法启用转发功能。 [3] 临时启用:此种方法只对当前会话起作用,系统重启后不再启用。临时开启的命令格式:sysctl–wnet.ipv4...
LINUX安全防护手册.zip
05-29
LINUX安全防护手册.zip
Linux服务器安全防护
收集盒 Book box
04-03 1011
很多人任务Linux就是安全的,而肆无忌惮的进行各种设置和操作,文件夹权限都是777,root密码简单的要命,日志根本不看,防火墙策略全部清空,甚至直接关闭,这些做法都是不对的,Linux也不是铁桶块,需要进行正确的配置才能发挥它的特长。 随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服务、集群服务等等。因此,Li
Linux操作系统安全防护技巧详细介绍
03-03
系统安全性对于用户来说至关重要,Linux用户也不例外。本文将为大家介绍些增强Linux安全防护的小窍门。
linux基本安全防护
eyeofeagle的博客
11-24 1091
#0, 升级mysql5.7 审计功能,库重命名系统默认账户,限制访问权限; 设置密码复杂度 #设备本地设置访问控制列表限制终端接入范围,开启have_openssl加密协议 # create user 'root'@'192.168.1.%' identified by 'ABCabc123!'; #1, 操作系统审计,日志保留半年 if which systemctl &>/dev/null ;then echo centos7 systemctl start rsyslo
Linux的基本安全防护
weixin_48705916的博客
09-01 341
1.linux系统初始化的些安全工作 1.添加普通用户,禁用root登录,有需要更改ssh的端口号。 2.远程登录使用秘钥登录,禁止密码登录 3.开启防火墙、关闭selinux。根据需要配置防火墙规则。 4.修改历史命令的保存条数。 5.做好软件层的防护 2.CC攻击以及DDOS攻击 1.攻击:指通过大量的合法请求占用公用网络资源,达到使网络瘫痪的目的 2.CC攻击:指通过攻击web页面实现的,攻击者通过模拟多个用户来进行页面的访问,从而消耗服务资源。 3.DDOS攻击:指分布式拒绝服务攻击,通过服务器技
信创|Linux系统安全防护
欢迎相互探讨交流知识呀~
11-05 844
笔记
小议Linux安全防护()
swordheart的博客
04-21 3847
0x00 前言 在linux服务器随处可见的网络环境中,网络运维人员保障Linux安全就成了必要条件。当然现在有很多的硬件防火墙以及WAF,但是那不是小资企业可以hold住的,本文从软件以及服务配置方面简单总结Linux安全防护。 0x01 使用软件级别安全防护 1、使用SELinux SELinux是用来对Linux进行安全加固的,它可以让你指定谁可以增加文件,谁只可以删除文件,或者谁还可以移动文件,从文件的层次上来说,它相当于个ACL; 配置文件:/etc/selinux/config (c
Linux系统安全防护要点
cloudeagle_bupt的专栏
01-07 1042
1. 数据备份 。 Linux 般只能直接恢复系统,  如果数据丢了很难恢复。没办法像Windows键恢复。 2. 安全问题。     般是防火墙工作规则设置好的话,就不会出太大问题。
linux安全保护机制,安全防护机制
weixin_35146639的博客
05-14 489
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR的话各个系统调用的地址就是随机化的。这些都会影响程序漏洞的编写。执行./checksec --file XXX...
Linux服务器的安全防护措施有哪些?
陈说技术
02-15 1150
对于运维使用的云服务器,安全保障是很有必要关注的,咱们可以从以下几个方面着手进行:1、防火墙设置2、服务器密码设置3、网络访问控制4、用户使用权限分配对于最高权限的root用户,我们尽量不要随意分配下去,因为过高的权限误操作容易导致系统问题。5、远程连接工具使用6、日志管理7、系统漏洞补丁更新。
linux系统防护
m0_52149675的博客
10-31 894
​文件定义了与和配套的用户限制设置。这个文件是定要存在的,缺失并不会影响系统的使用,但是也许会产生意想不到的错误。​ 如果文件里有相同的选项,则以里的设置为准,也就是说**/etc/shadow的配置优先级高于/etc/login.defs**。
Linux系统安全加固与运维防护指南
通过对以上文件的了解和分析,我们可以推断出这份“LINUX安全防护手册.zip”文件为系统管理员和运维工程师提供了系列针对Linux系统安全加固的详细指南和实用工具。这份资料很可能包括了安全防护理论知识、实际操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值