[root@localhost ~]# systemctl stop iptables
[root@localhost ~]# systemctl restart firewalld
[root@localhost ~]# firewall-cmd --help #查看帮助
[root@localhost ~]# firewall-cmd --list-all #查看所有的规则
[root@localhost ~]#firewall-cmd --permanent --add-service=服务名
使用firewalld配置的防火墙策略默认为当前生效,会随着系统的重启而失效。如果想让策略一直存在,
就需要使用永久模式了,即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数,这样
配置的防火墙策略就可以永久生效了,最后想要使用这种方式设置的策略生效,只能重启或者输入命令:
firewall-cmd --reload一:selinux
1,说明
SELinux意思是安全强化的linux。
Linux:
判断主机中用户发起者身份(可执行文件进程的身份);判断发起者身份是目标文件的什么用户;查看文件用户类型的权限
MAC:
判断主机中用户发起者身份(可执行文件进程的身份);判断发起者身份是目标文件的什么用户;查看文件用户类型的权限
开启selinux ---(大部分网络程序)文件进程标签和目标资源的标签是否是同一类
2,工作原理
selinux通过MAC控制管理进程,控制的主体是进程,目标是该进程能否读取文件资源
主体(subject):就是进程 目标(object):被主体访问的资源,可以是文件、目录、端口等。 策略(policy):由于进程与文件数量庞大,因此SELinux会依据某些服务来制定基本的访问安全策略。这些策略内还会有详细的规则(rule)来指定不同的服务开放某些资源的访问与否。目前主要的策略有:
-
targeted:针对网络服务限制较多,针对本机限制较少,是默认的策略;
-
strict:完整的SELinux限制,限制方面较为严格。
安全上下文(security context):主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能够顺利访问。 最终文件的成功访问还是与文件系统的rwx权限设置有关 。
#查看安全上下文
ls -Z
//-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
四个字段内容:
身份标识:角色:类型:灵敏度 (一般关注类型)
3,selinux的启动关闭查看
(1)selinux三种模式
enforcing——强制模式,表示正在运行,会限制domain/type
peimissive——宽容模式,正在进行会警告但是不限制
disabled——关闭模式,没有运行
#查看当前模式
getenforce
(2)修改安全上下文
chcon [-R] [-t type] [-u user] [-r role] 文件
-R:连同该目录下的子目录也同时修改;
-t:后面接安全上下文的类型字段;
-u:后面接身份识别;
-r:后面接角色
chcon [-R] --reference=范例文件 文件 将文件的安全上下文按照范例文件修改4,selinux对linux服务的影响
实验一:使用web服务器演示安全上下文值的设定
#服务端的IP地址为172.24.8.130,服务端的设置如下:
[root@localhost ~]# systemctl disable firewalld --now
[root@localhost ~]# getenforce
Enforcing
[root@master-dns ~]# cat /etc/nginx/conf.d/test_ip.conf
server{
listen 192.168.168.100:80;
root /www/ip/100;
}
server{
listen 192.168.168.200:80;
root /www/ip/200;
location / {}
}
[root@localhost ~]# mkdir -pv /www/ip/{100,200}
[root@localhost ~]# echo this is 100 > /www/ip/100/index.html
[root@localhost ~]# echo this is 200 > /www/ip/200/index.html
[root@localhost ~]# systemctl restart nginx
通过客户端测试,出现403状态码
#修改自定义目录的安全上下文的值:
[root@localhost ~]# chcon -t httpd_sys_content_t /www/ -R
也可以将自定义目录的安全上下文的值按照/var/www/html文件修改:
[root@localhost ~]# chcon -R --reference=/usr/share/nginx/html/index.html
/www
修改之后即可成功访问。实验二:使用web服务端口改变来演示端口的设定
[root@localhost ~]# vim /etc/httpd/conf.d/host.conf
[root@master-dns ~]# cat /etc/nginx/conf.d/test_port.conf
server {
listen 192.168.168.153:80;
root /www/port/80;
location / {}
}
server {
listen 192.168.168.153:10000;
root /www/port/10000;
location / {}
}
[root@localhost ~]# mkdir -pv /www/port/{80,10000}
[root@localhost ~]# echo the port is 80 > /www/port/80/index.html
[root@localhost ~]# echo the port is 10000 > /www/port/10000/index.html
[root@master-dns ~]# systemctl restart nginx
#服务重启失败,查看日志
[root@localhost ~]# tail -f /var/log/messages
#添加10000端口为服务端口:
[root@localhost ~]# semanage port -a -t http_port_t -p tcp 10000
[root@master-dns ~]# systemctl restart nginx
[root@master-dns ~]# curl 192.168.168.153:10000
the port is 10000二:防火墙
1,防火墙的定义
防火墙:防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。
防火墙又可以分为硬件防火墙与软件防火墙。
2,firewalld
相比于传统的防火墙管理工具,
firewalld
支持动态更新技术并加入了区域的概念。区域就是
firewalld
预
先准备了几套防火墙策略集合(策略模板),用户可以选择不同的集合,从而实现防火墙策略之间的快速切换。
firewalld
中常见的区域名称(默认为
public
)以及相应的策略规则:
firewall-cmd命令参数
[root@localhost ~]# systemctl stop iptables
[root@localhost ~]# systemctl restart firewalld
[root@localhost ~]# firewall-cmd --help #查看帮助
[root@localhost ~]# firewall-cmd --list-all #查看所有的规则
[root@localhost ~]#firewall-cmd --permanent --add-service=服务名
使用firewalld配置的防火墙策略默认为当前生效,会随着系统的重启而失效。如果想让策略一直存在,
就需要使用永久模式了,即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数,这样
配置的防火墙策略就可以永久生效了,最后想要使用这种方式设置的策略生效,只能重启或者输入命令:
firewall-cmd --reload
#禁止某个ip地址进行ssh访问,应该写成ip/32
#配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口)
[root@system1 ~]# firewall-cmd --permanent --add-rich-rule='rule
family="ipv4" source address="172.24.8.0/24" forward-port port="5423"
protocol="tcp" toport="80"'
扫一扫
4845
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
