77、Linux网络安全与容器技术入门

最新推荐文章于 2025-07-25 10:26:52 发布

脚滑的狐狸160

最新推荐文章于 2025-07-25 10:26:52 发布

阅读量32

点赞数

CC 4.0 BY-SA版权

分类专栏： Linux圣经：从入门到精通文章标签： Linux网络安全容器技术 firewalld

本文链接：https://blog.youkuaiyun.com/nginx7reverse/article/details/149706110

Linux圣经：从入门到精通专栏收录该内容

88 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Linux网络安全与容器技术入门

1. Linux网络安全基础

在网络环境中，保障Linux服务器的安全至关重要，因为大多数恶意攻击都源自网络，尤其是互联网。以下是一些保障网络安全的基础操作：
- 确定并移除不必要的网络服务 ：使用 nmap 工具可以帮助我们确定哪些网络服务是不必要的，从而进行移除。同时， nmap 还能用于审计Linux服务器对网络服务的广告宣传，以此来确定防火墙需要进行哪些修改。
- 防火墙管理 ：
- firewalld服务 ：Fedora和RHEL的最新版本添加了 firewalld 服务，它是Linux内核中内置的 iptables 防火墙工具的前端。通过 firewalld-config 工具和Cockpit Web UI，我们可以轻松地在防火墙中打开端口，以允许对选定服务的访问。
- netfilter/iptables防火墙 ：这是一个基于主机的网络层软件防火墙，由 iptables 和 ip6tables 工具进行管理。我们可以使用这些工具为通过Linux服务器的每个网络数据包创建一系列的策略和规则。

2. 网络安全操作练习

以下是一些具体的操作练习，假设你运行的是Fedora或Red Hat Enterprise Linux系统：
1. 安装Network Mapper工具 ：在本地Linux系统上安装该工具。
2. 运行TCP Connect扫描 ：对本地回环地址运行TCP Connect扫描，查看哪些端口上有服务正在运行。
3. 运行UDP端口扫描 ：从远程系统对Linux系统运行UDP端口扫描。
4. 检查并启动firewalld服务 ：检查系统是否正在运行 firewalld 服务，如果没有，则安装 firewalld 和 firewall-config ，然后启动并启用该服务。
5. 打开防火墙端口 ：使用防火墙配置窗口为Web服务打开安全（TCP端口443）和不安全（TCP端口80）端口的访问权限。
6. 确定防火墙策略和规则 ：确定Linux系统当前的 netfilter/iptables 防火墙策略和规则。
7. 保存、刷新和恢复防火墙规则 ：保存当前的防火墙规则，刷新它们，然后再恢复。
8. 设置防火墙策略 ：将Linux系统防火墙的过滤表策略的输入链设置为DROP。
9. 修改防火墙策略并添加规则 ：将输入链的过滤表策略改回接受，然后添加一条规则，以丢弃来自IP地址10.140.67.23的所有网络数据包。
10. 移除规则 ：在不刷新或恢复防火墙规则的情况下，移除刚刚添加的规则。

3. 容器技术概述

容器技术使得获取和运行应用程序变得简单，并且在使用完后可以轻松丢弃。以下是容器技术的一些关键概念：
- 容器与虚拟机 ：
- 虚拟机（VM） ：是一个完整的操作系统，运行在另一个操作系统之上。它拥有自己的内核、文件系统、进程表、网络接口等，与主机系统共享CPU和RAM。我们可以将VM部署到物理系统上，方便运行应用程序，使用完后可以丢弃。
- 容器：类似于VM，但没有自己的内核。它的命名空间与主机操作系统分离，可以在不同的主机之间移动运行。
- 容器相关技术 ：
- Kubernetes ：是用于在大型数据中心编排大量容器的主要技术。像Red Hat OpenShift这样的产品为大型企业提供了受支持的Kubernetes平台。
- Docker和Podman ：Docker项目是几年前推动容器技术发展的先驱，而如今标准化的容器格式（如Open Container Initiative）和其他容器工具（如Podman）提供了与Kubernetes生态系统更紧密结合的容器操作方式。

4. 理解Linux容器

在开始使用容器之前，我们需要了解一些关于容器的基本概念：
- 容器镜像和容器 ：在处理容器时，我们将可移动的实体称为容器镜像（或简称为镜像）。当运行该镜像，或者它处于暂停或停止状态时，我们称之为容器。
- 命名空间 ：Linux对命名空间的支持使得容器能够独立运行。容器使用自己的命名空间与主机系统分离，默认情况下，容器内的进程只能看到容器的命名空间，而看不到主机的命名空间。命名空间包括以下几种：
- 进程表 ：容器有自己的进程ID集合，默认情况下只能看到容器内运行的进程。主机上的PID 1是init进程（systemd），而在容器中PID 1是容器内运行的第一个进程。
- 网络接口 ：默认情况下，容器有一个单一的网络接口（eth0），并在容器运行时分配一个IP地址。容器内运行的服务（如监听端口80和443的Web服务器）默认不会暴露到主机系统外部。
- 挂载表 ：默认情况下，容器无法看到主机的根文件系统或主机挂载表中列出的任何其他挂载文件系统。容器有自己的文件系统，由应用程序及其运行所需的任何依赖项组成。
- 用户ID ：尽管容器化进程在主机的命名空间中以某个UID运行，但容器内嵌套了另一组UID。这使得进程可以在容器内以root身份运行，但对主机系统没有任何特殊权限。
- UTS ：UTS命名空间允许容器化进程拥有与主机不同的主机名和域名。
- 控制组（cgroup） ：在某些Linux系统（如Fedora和RHEL）中，容器化进程在选定的控制组内运行，无法看到主机系统上的其他控制组，也无法看到自己的控制组标识。
- 进程间通信（IPC） ：容器化进程无法看到主机的IPC命名空间。
- 容器注册表 ：容器的永久存储是在所谓的容器注册表中完成的。当我们创建一个想要共享的容器镜像时，可以将其推送到公共注册表或自己维护的私有注册表（如Red Hat Quay注册表）。需要使用该镜像的人可以从注册表中拉取它。常见的公共容器镜像注册表有Docker Hub（docker.io）和Quay Registry（Quay.io），它们提供免费账户供用户开始使用，同时也提供高级账户以获取更多功能。
- 基础镜像和层 ：大多数情况下，我们通过从一个知名的基础镜像开始，并在其上添加软件来构建容器。基础镜像通常与我们要安装软件的操作系统相匹配。我们可以从Ubuntu、CentOS、Fedora等许多Linux发行版获取官方基础镜像，这些发行版可能提供不同形式的基础镜像，如标准版本和最小版本。此外，还有一些基础镜像可以为PHP、Perl、Java等开发环境提供运行时。当我们向镜像中添加软件时，会创建一个新的层，成为新镜像的一部分。重用相同的基础镜像来构建容器有很多优点，例如在运行容器镜像时，主机上只需要一份基础镜像的副本。

5. 开始使用Linux容器

在自己的Linux系统上开始运行容器所需的准备工作很少，以下是具体的操作步骤：
- 安装容器软件 ：
- docker ：在RHEL 7系统上，可以运行以下命令安装 docker 包并启动和启用 docker 服务：

# yum install docker -y
# systemctl start docker
# systemctl enable docker

- **podman**：在Fedora或RHEL上安装`podman`，可以运行以下命令：

# yum install podman -y

拉取和运行容器 ：
- 拉取容器 ：选择一个可靠的容器镜像进行尝试，例如使用 podman 命令拉取RHEL 8 UBI基础镜像：

# podman pull registry.access.redhat.com/ubi8/ubi

运行`podman images`命令可以查看镜像是否已在系统上：

# podman images
REPOSITORY   TAG     IMAGE ID      CREATED      SIZE
/ubi8/ubi    latest  096cae65a207  2 weeks ago  239 M

- **在容器中运行shell**：使用`podman`或`docker`在容器内运行shell。可以通过镜像ID（如`096cae65a207`）或名称（如`registry.access.redhat.com/ubi8/ubi`）来标识镜像。使用`-i`（交互式）和`-t`（终端）选项，以便在容器内从bash shell进行交互式会话：

# podman run -it 096cae65a207 bash

在容器内，我们可以执行各种命令，例如列出容器的文件系统或查看`os-release`文件以确定容器所基于的操作系统：

[root@e9086da6ed70 /]# ls /
bin   dev  home   lib64       media  opt   root  sbin  sys  usr
boot  etc  lib    lost+found  mnt    proc  run   srv   tmp  var
[root@e9086da6ed70 /]# cat /etc/os-release | grep ^NAME
NAME="Red Hat Enterprise Linux"

由于容器的设计目的是包含运行预期应用程序所需的最少内容，因此许多标准工具可能不在容器内。我们可以在运行的容器内安装软件，但需要注意的是，容器是为了被丢弃而设计的，所以如果想永久添加软件，应该构建一个包含所需软件的新镜像。例如，在运行的容器内添加`procps`和`iproute`软件包：

[root@e9086da6ed70 /]# yum install procps iproute -y

安装完成后，我们就可以在容器内运行`ps`和`ip`等命令：

[root@e9086da6ed70 /]# ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 17:44 pts/0    00:00:00 bash
root        40     1  0 17:45 pts/0    00:00:00 ps -ef
[root@e9086da6ed70 /]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 ...
    inet 127.0.0.1/8 scope host lo
    ...
3: eth0@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ...
    inet 10.88.0.6/16 brd 10.88.255.255 scope global eth0
    ...

通过以上步骤，我们可以初步掌握Linux网络安全和容器技术的基础知识，并进行一些实际的操作练习。在实际应用中，我们可以根据具体需求进一步深入学习和应用这些技术。

Linux网络安全与容器技术入门（续）

6. 容器操作进阶

在掌握了容器的基本操作后，我们可以进一步了解容器的其他操作，如重启停止的容器、构建容器镜像、标记并推送容器镜像到注册表等。

重启停止的容器 ：当容器停止后，我们可以使用以下命令重启它。假设我们之前使用 podman 运行的容器ID为 e9086da6ed70 ，则可以使用以下命令重启它：

# podman start e9086da6ed70

构建容器镜像 ：通常我们会基于一个基础镜像来构建自己的容器镜像。可以使用 Dockerfile 来定义构建过程。以下是一个简单的 Dockerfile 示例，用于在RHEL 8 UBI基础镜像上安装 httpd 服务：

# 使用RHEL 8 UBI基础镜像
FROM registry.access.redhat.com/ubi8/ubi

# 更新系统并安装httpd
RUN yum update -y && yum install httpd -y

# 暴露80端口
EXPOSE 80

# 启动httpd服务
CMD ["httpd", "-D", "FOREGROUND"]

将上述内容保存为 Dockerfile ，然后在该文件所在目录下运行以下命令来构建镜像：

# podman build -t my-httpd-image .

其中， -t 选项用于指定镜像的标签， . 表示使用当前目录下的 Dockerfile 。

标记并推送容器镜像到注册表 ：构建好镜像后，如果我们想将其分享给其他人，可以将其推送到公共或私有注册表。首先，我们需要标记镜像，然后进行推送。以下是具体步骤：
1. 标记镜像：假设我们要将之前构建的 my-httpd-image 镜像推送到Docker Hub，我们需要先登录Docker Hub，然后标记镜像：

# podman login docker.io
# podman tag my-httpd-image docker.io/yourusername/my-httpd-image

2. 推送镜像：标记完成后，就可以将镜像推送到Docker Hub：

# podman push docker.io/yourusername/my-httpd-image

7. 云计算与容器技术的结合

在大型数据中心中，云计算与容器技术的结合可以提高资源利用率和应用部署的效率。以下是一些相关的技术和工具：
- Ansible ：用于部署主机集合，无论是在裸机还是云环境中。通过Ansible playbooks，我们可以定义每个主机系统上安装和运行的软件。例如，以下是一个简单的Ansible playbook示例，用于在远程主机上安装 nginx 服务：

---
- name: Install and start nginx
  hosts: all
  become: true
  tasks:
    - name: Install nginx
      yum:
        name: nginx
        state: present
    - name: Start nginx service
      service:
        name: nginx
        state: started
        enabled: true

将上述内容保存为 nginx-playbook.yml ，然后在本地运行以下命令来执行该playbook：

# ansible-playbook -i inventory.ini nginx-playbook.yml

其中， inventory.ini 是Ansible的主机清单文件，用于指定要操作的远程主机。

Kubernetes ：是用于在大型数据中心编排大量容器的主要技术。以下是一个简单的Kubernetes部署示例，用于部署一个 nginx 服务：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.14.2
        ports:
        - containerPort: 80

将上述内容保存为 nginx-deployment.yml ，然后使用 kubectl 命令来创建该部署：

# kubectl apply -f nginx-deployment.yml

8. 总结

通过本文，我们学习了Linux网络安全和容器技术的基础知识，包括网络安全的基础操作、容器的概念和操作、云计算与容器技术的结合等。以下是本文的关键知识点总结：
| 技术领域 | 关键知识点 |
| ---- | ---- |
| 网络安全 | 使用 nmap 工具确定并移除不必要的网络服务；使用 firewalld 和 netfilter/iptables 管理防火墙 |
| 容器技术 | 了解容器与虚拟机的区别；掌握容器的基本操作，如拉取、运行、构建、推送等；了解容器的命名空间、注册表、基础镜像和层等概念 |
| 云计算与容器结合 | 学习使用Ansible进行主机部署和软件安装；了解Kubernetes在容器编排中的应用 |

以下是一个简单的mermaid流程图，展示了从基础镜像到构建、部署容器的整个过程：

graph LR
    A[选择基础镜像] --> B[构建容器镜像]
    B --> C[标记镜像]
    C --> D[推送镜像到注册表]
    D --> E[从注册表拉取镜像]
    E --> F[部署容器]

希望通过本文的介绍，你能够对Linux网络安全和容器技术有更深入的了解，并在实际应用中灵活运用这些技术。