系统安全保护与防火墙策略

SELinux模式的切换

enforcing(强制)
permissive(宽松)
disabled(禁用)
与disabled模式相关的切换都需要重启
getenforce ----查看模式
临时切换:setenforce 1|0 (1-强制,0-宽松)
永久配置:/etc/selinux/config

搭建基本的Web服务

  yum -y install httpd

  systemctl restart httpd

  systemctl enable httpd(开机自启) 

  本机访问测试>>> firefox ip

    firefox  172.25.0.11

  书写网页文件:  

    /var/www/html (httpd默认网页文件路径)

    index.html (httpd默认为网页名称)

    

搭建基本的ftp服务

  FTP------文件传输协议

  yum -y install vsftpd

  systemctl restart vsftpd

  systemctl enable vsftpd

  本机访问测试: firefox ftp://ip

    firefox ftp://172.25.0.11

  FTP默认共享路径:

    var/ftp

防火墙策略:

作用:过滤和隔离

  允许出站,过滤入站

firewalld服务基础

  firewall-cmd firewall-config(图形)

--public    仅允许访问本机的sshd dhcp ping等少数几个服务

--trusted    允许任何访问  

--block   阻塞任何来访请求(明确拒绝)

--drop    丢弃任何来访的数据包(没有回应,直接丢弃,节省资源)

默认区域(public): root用户可以修改

[[email protected] ~]# firewall-cmd --get-default-zone          #查看默认区域
public
[[email protected] ~]# firewall-cmd --set-default-zone=block  #修改默认区域
success
[[email protected] ~]# firewall-cmd --get-default-zone
block

数据包内容:源IP地址 目标IP地址 数据

public区域添加服务的协议

[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules: 
[[email protected] ~]# firewall-cmd --zone=public --add-service=ftp
success
[[email protected] ~]# firewall-cmd --zone=public --add-service=http
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client ftp http ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules: 
[[email protected] ~]# firefox 172.25.0.11
[[email protected] ~]# firefox ftp://172.25.0.11

 防火墙实现永久策略: 

  --permanent(永久)

  firewall-cmd --reload

[[email protected] ~]# firewall-cmd --permanent --zone=public --add-service=http
success
[[email protected] ~]# firewall-cmd --permanent --zone=public --add-service=ftp
success
[[email protected] ~]# firewall-cmd --reload
success
[[email protected] ~]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client ftp http ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

原文地址:https://www.cnblogs.com/ray-mmss/p/9938673.html

时间: 2024-10-11 22:51:51

系统安全保护与防火墙策略的相关文章

系统安全保护以及防火墙策略管理

系统安全保护 SELinux概述 ? Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 – 集成到Linux内核(2.6及以上)中运行 – RHEL7基于SELinux体系针对用户.进程.目录和文件提供了预设的保护策略,以及管理工具 ? SELinux的运行模式 – enforcing(强制).permissive(宽松) – disabled(彻底禁用) ? 切换运行模式 – 临时切换:setenforce 1|0

系统安全保护 配置用户环境 配置高级连接 防火墙策略管理

SELinux概述? Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系– 集成到Linux内核(2.6及以上)中运行– RHEL7基于SELinux体系针对用户.进程.目录和文件提供了预设的保护策略,以及管理工具 ? SELinux的运行模式– enforcing(强制).permissive(宽松)– disabled(彻底禁用) 任何状态变成disabled(彻底禁用),都必须通过重起reboot ? 切换运行模式

Linux -- 系统安全之Iptables防火墙(2)

一.iptables防水墙的实现方式及iptables命令的格式 iptables防火墙介绍 netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具,它完全免费.功能强大.使用灵活.占用系统资源少,可以对经过的数据进行非常细致的控制.本节首先介绍有关iptables防火墙的基本知识,包括netfilter框架.iptables防火墙结构与原理.iptables命令格式等内容. netfilter框架 Linux内核包含了一个强大的网络子系统,名为netfilter,它

Zabbix通过JMX监控tomcat——防火墙策略问题分析

一.现 状 对于Zabbix通过JMX来监控tomcat,网络上有很多文章,但大都是相同或类似的,且都是没有设置防火墙的,所以就安装而言百度就行.现在为了服务的安全,是必须开启防火墙的.于是出现了一系列的问题. 二.当前环境 1.Zabbix_server的Zabbix版本是3.0.4,系统是Centos7.0,使用YUM安装. Centos7.0 YUM安装地址:http://blog.csdn.net/reblue520/article/details/52136850 2.Zabbix-s

zabbix通过JMX监控tomcat,防火墙策略配置

一.目前的环境 被监控端192.168.153.191 /usr/local/tomcat 下载了catalina-jmx-remote.jar放到了tomcat安装目录的lib目录下,现在为止这个jar包没有派上用场. /usr/local/jdk1.7.0_79 在tomcat的bin目录下的catalina.sh脚本里面添加如下内容(可以写成一行,这个百度下能找到) Html代码 CATALINA_OPTS="${CATALINA_OPTS} -Djava.rmi.server.hostn

修改esxi 防火墙策略

esxi 系统和 linux 系统一样,会不断的暴出各种安全问题,虽然有了 update manager 可以指升级 esxi 操作系统的版本,但仍然会有很大的风险.而通过防火墙策略来限制允许访问的原地址,则是一个折中的安全措施. vcenter5.0以后,对 esxi 的配置增加不少,esx 中能开关防火墙策略,但不能配置原地址限制.在5.0以后可以了,起码你不再需要一台台登陆 到 esx 系统中进行配置了. 配置方法如下: 打开 vmware client ,连接到你要修改的 vcenter

达内-linux基础-day07-聚合链接和防火墙策略管理(初级)

###############################################################################  配置聚合连接(网卡绑定)team,聚合连接(也称为链路聚合)– 由多块网卡(team-slave)一起组建而成的虚拟网卡,即"组队"– 作用1:轮询式(roundrobin)的流量负载均衡 – 作用2:热备份(activebackup)连接冗余 一.添加team团队设备[[email protected] ~]# man te

windows 开启防火墙策略允许ftp端口通过

windows 开启防火墙策略允许ftp端口通过,布布扣,bubuko.com

Centos 开机启动iptables防火墙策略

运行环境 Centos6.7 [[email protected] ~]# vim ipt.sh #!/bin/bash ipt="/sbin/iptables" $ipt -F $ipt -P INPUT ACCEPT #$ipt -t nat -P INPUT DROP $ipt -P OUTPUT ACCEPT $ipt -A INPUT -p tcp -s 10.0.0.1 --dport 20 -j ACCEPT $ipt -A INPUT -p tcp -s 255.10.