【系统安全保护 、 配置用户环境 、 配置高级连接 、 防火墙策略管理】
【系统安全保护】
『SELinux安全机制』
Security-Enhanced Linux
美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
集成到Linux内核(2.6及以上)中运行
RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具
SELinux的运行模式
enforcing 强制启用
permissive 宽松启用
disabled 彻底禁用
临时切换模式
setenforce 1 临时切换为enforcing状态
setenforce 0 临时切换为permissive状态
getenforce 查看当前状态
固定配置(reboot生效)
/etc/selinux/config
--->
SELINUX=enforcing 设为强制启用
--->
reboot 重启生效
【配置用户环境】
『自定义命令』
定义别名
alias 名称='执行的命令行'
取消别名
unalias [名称]
查看别名
alias [名称]
『用户初始化文件』
用户个性化配置
~/.bashrc ~student/bashrc 仅对student有效
影响指定用户,每次开启bash终端生效
全局配置
/etc/bashrc
影响所有用户,每次开启bash终端生效
【配置高级连接】
『配置IPv6地址』
IPv4 地址表示
--32个二进制位,点分隔的十进制数
--172.25.0.11、127.0.0.1
IPv6 地址表示
--128个二进制为,冒号分隔的十六进制数
--每段内连续的前置0可省略、连续的多个:可简化为::
2003:ac18:0000:0000:0000:0000:0000:0305
---> 2003:ac18::305/64
基本配置方法
1.修改连接参数
nmcli con show 获取连接名
--->
NAME DEVICE
System eth0 eth0
连接名 网卡名
nmcli connection modify "System eth0" ipv6.method
manual ipv6.addresses "2003:ac18::305/64"
2.激活连接(必要时先down再up)
nmcli connection up "System eth0"
查看IPv6地址
ifconfig eth0 | grep inet6
『配置聚合连接』
链路聚合的优势
team,聚合连接(也称为链路聚合)
--由多块网卡(team-slave)一起组建而成的虚拟网卡,即“组队”
--作用1:轮询式(roundrobin)的流量负载均衡
--作用2:热备份(activebackup)连接冗余
实现链路聚合条件
2块或2快以上的物理网卡
查询网卡 ifconfig -a | grep ^eth
配置聚合连接
HSRP 活跃路由器 备份路由器
虚拟路由器
eth1 eth2
聚合连接 team(192.168.1.1)
1.新建聚合连接
---类型、连接名、运行器
nmcli con add con-name team0 type team ifname team0
config '{ "runner":{ "name":"activebackup" } }'
技巧---> man teamd.conf ,按G到全文的最后,向上找EXAMPLES,
复制"runner": {"name": "activebackup"}
2.配置IPv4地址
--连接名、IP地址
nmcli con mod team0 ipv4.method manual
ipv4.addresses '172.16.3.20/24' connection.autoconnect yes
3.新建聚合成员连接
---类型、连接名、主连接
nmcli con add con-name team0-p1 type team-slave
ifname eth1 master team0
nmcli con add con-name team0-p2 type team-slave
ifname eth2 master team0
4.激活聚合连接
1)激活聚合连接
nmcli connection up team0
2)激活聚合成员连接
nmcli connection up team0-p1
nmcli connection up team0-p2
5.确认聚合连接状态
1)查看聚合连接地址
ifconfig team0
2)查看聚合连接运行状态
teamdctl team0 state ---> activebackup
【防火墙策略管理】
『防火墙配置』
--系统服务:firewalld
--管理工具:firewall-cmd、firewall-config
查看列表
firewall-cmd --list-all [--zone=区域名]
firewall-cmd --list-all-zones
firewall-cmd --get-zones
firewall-cmd --get-services
查看状态
firewall-cmd --get-default-zone
设置状态
firewall-cmd --set-default-zone=?
public 允许部分,sshd等
trusted 允许所有
block 阻塞所有
drop 丢弃所有
指定默认的安全区域
firewall-cmd --set-default-zone=区域名
默认public,限制严格
对于开放式环境,推荐修改默认区域为trusted
封锁IP网段
firewall-cmd --permanent --zone=block --add-source=网段
开服务http
firewall-cmd --permanent --zone=public --add-service=http
开服务ftp
firewall-cmd --permanent --zone=public --add-service=ftp
重载配置
firewall-cmd --reload
语句的删除
add ---> remove
端口映射配置
1.启用防火墙服务
systemctl restart firewalld
systemctl enable firewalld
2.默认设置trusted
firewall-cmd --set-default-zone=trusted
2.封网段
firewall-cmd --permanent --zone=block --add-
source=172.35.0.0/24
firewall-cmd --reload
3.配置端口转发---5423--->80
1)服务端准备测试网站
装包 yum -y install httpd
网页 vim /var/www/html/index.html
起服务 systemctl restart httpd
2)客户端访问测试
装包 yum -y install elinks
访问 elinks -dump http://server0.example.com/
3)配置端口转发
firewall-cmd --permanent --zone=trusted --
add-forward-port=port=5423:proto=tcp:toport=80
firewall-cmd --reload
4.验证端口转发策略
elinks -dump http://server0.example.com:5423/
elinks -dump http://server0.example.com/
firefox http://server0.example.com/
FTP共享服务
vsftpd 默认FTP共享路径:/var/ftp
防火墙判断的规则,匹配及停止
1.首先看客户端请求中的源IP地址,查询所有区域中是那个区域有该源IP地址的策略,然后进入该区域
2.进入默认区域
典型的应用方式:
严格,方式1:将默认区域保持为block,针对需要放行的访问在trusted区域添加策略
宽松,方式2:将默认区域保持为trusted,针对需要阻止的访问在block区域添加策略