linux管理员技术-01 -SElinux、配置高级连接、防火墙管理策略、

Security-Enhanced Linux(SElinux)

– 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系

目的:强制访问控制体系

– 集成到Linux内核(2.6及以上)中运行

– RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具

SELinux的运行模式

– enforcing(强制)、permissive(宽松)

– disabled(彻底禁用)

切换运行模式

-临时切换(当前切换):setenforce  1/0    #0表示降级,1表示升级

-固定配置(下次重启才生效):vim /etc/selinux/config

[[email protected] ~]# getenforce     #查看当前SELinux状态

Enforcing

[[email protected] ~]# setenforce 0   #设置当前SELinux状态

[[email protected] ~]# getenforce

Permissive

enforcing、permissive与disabled之间的切换必须到vim固定配置重启才能生效

固定配置:

[[email protected] ~]# vim /etc/selinux/config

.. ..

SELINUX=permissive

[[email protected] ~]#reboot   #重启系统切换模式

补充:vim  命令模式

C(大写):删除光标之后到行尾,并且进入插入模式

-------------------------------------------------------------------------------------------

配置高级连接

配置聚合连接(网卡绑定)

和HSRP相似

HSRP:备份网关设备

路由器1             路由器2

192.168.1.254     192.168.1.253

活跃                     备份

虚拟路由器

192.168.1.200

聚合连接:备份网卡设备

eth1            eth2

192.168.1.1/24     192.168.1.2/24

team

192.168.1.10

team,聚合连接(也称为链路聚合)

– 由多块网卡(team-slave)一起组建而成的虚拟网卡,即“组队”

– 作用1:轮询式(roundrobin)的流量负载均衡

– 作用2:热备份(activebackup)连接冗余

热备份配置:  {"runner":{"name":"activebackup"}}

热备份配置字符复杂可以用:man帮助辅助记忆

输入man teamd.conf进入帮助界面

输入  /example            #全文查找example

再按n                    #按n 跳转下一个匹配

找到并复制 {"runner":{"name":"activebackup"}}

[[email protected] ~]# man teamd.conf

/example   #全文查找example

#按n 跳转下一个匹配

一、添加team团队设备

# nmcli connection add type team

con-name team0  ifname  team0

config ‘{"runner": {"name": "activebackup"}}‘

# cat /etc/sysconfig/network-scripts/ifcfg-team0

# ifconfig  team0

二、添加成员

# nmcli connection add type team-slave

ifname eth1 master team0

# nmcli connection add type team-slave

ifname eth2 master team0

三、配置team0的IP地址

# nmcli connection modify team0

ipv4.method manual

ipv4.addresses 192.168.1.1/24

connection.autoconnect yes

四、激活team0

# nmcli connection up team-slave-eth1   #激活从设备eth1

# nmcli connection up team-slave-eth2   #激活从设备eth2

# nmcli connection up team0            #激活主设备team0

五、验证

# teamdctl team0 state    #专用于查看team信息

setup:

runner: activebackup

ports:

eth1

link watches:

link summary: up

instance[link_watch_0]:

name: ethtool

link: up                #状态已激活

eth2

link watches:

link summary: up

instance[link_watch_0]:

name: ethtool

link: up                #状态已激活

runner:

active port: eth1        #指定活跃网卡为eth1

注意:前面有输入错误的地方不要重新输一遍正确的,不会覆盖,最好删除网卡组成员

删除命令:

# nmcli connection delete team-slave-eth1

# nmcli connection delete team-slave-eth2

# nmcli connection delete team0

在客户端desktop虚拟机上按照server0重新配置一遍,配置IP地址为192.168.1.2/24

都配置完后可以Ping验证

若将其中一个网卡eth1或eth2端口关闭,命令:ifconfig eth1/eth2 down也会ping通,因为有备份,两个都关闭则ping失败

-------------------------------------------------------------------------------------------

 配置IPv6地址

IPv6 地址表示

– 128个二进制位,冒号分隔的十六进制数

– 每段内连续的前置 0 可省略、连续的多个 : 可简化为 ::

# nmcli connection modify ‘System eth0‘

ipv6.method manual

ipv6.addresses 2003:ac18::305/64

connection.autoconnect yes

# nmcli connection up ‘System eth0‘

# ifconfig eth0

# ping6  2003:ac18::305

-------------------------------------------------------------------------------------------

alias别名设置

查看已设置的别名

– alias [别名名称]

定义新的别名

– alias 别名名称= ‘实际执行的命令行‘

取消已设置的别名

– unalias [别名名称]

用户个性化配置文件

影响指定用户的 bash 解释环境

– ~/.bashrc,每次开启 bash 终端时生效

全局环境配置

影响所有用户的 bash 解释环境

– /etc/bashrc,每次开启 bash 终端时生效

[[email protected] ~]# vim /root/.bashrc      #影响root文件

.. ..

alias hello=‘echo hello‘

[[email protected] ~]# vim /home/student/.bashrc #影响student文件

.. ..

alias hi=‘echo hi‘

[[email protected] ~]# vim /etc/bashrc    #全局配置文件

.. ..

alias haha=‘echo xixi‘

退出远程登陆,重新远程server0验证

[[email protected] ~]# hello        #成功

[[email protected] ~]# hi           #失败

[[email protected] ~]# haha         #成功

[[email protected] ~]# su - student

[[email protected] ~]$ hello      #失败

[[email protected] ~]$ hi    #成功

[[email protected] ~]$ haha       #成功

[[email protected] ~]$ exit

-------------------------------------------------------------------------------------------

防火墙策略管理(firewall)

一、搭建基本Web服务

利用服务端的软件(httpd)为客户端提供Web服务

服务端:  httpd(软件)由Apache组织开发

1.server0上安装httpd软件

2.server0启动httpd服务,设置开机自起

默认情况下:Apache没有提供任何页面

虚拟机登陆firefox页面必须将真机的所有firefox页面程序关闭

默认Apache网页文件存放路径:/var/www/html

默认Apache网页文件名称:index.html

[[email protected] ~]# yum -y install httpd    #安装软件

[[email protected] ~]# systemctl restart httpd  #设置开机自启

[[email protected] ~]# systemctl enable httpd

[[email protected] ~]# vim /var/www/html/index.html  #进入编辑页面

<marquee><font color=green><h1>My First Web

#字体滚动,字体颜色,字体大小后面输入页面显示内容

[[email protected] ~]# firefox 172.25.0.11

前面没写服务就默认http服务

二、FTP服务的搭建    ftp:文件传输协议

服务端:  vsftpd(软件)

1.server0上安装 vsftpd软件

2.server0启动 vsftpd服务,设置开机自起

默认共享的位置:/var/ftp

可以创建文档文件:

e.g:

[[email protected] ~]# touch /var/ftp/1.txt

[[email protected] ~]# touch /var/ftp/2.txt

测试

[[email protected] ~]# firefox ftp://172.25.0.11

-------------------------------------------------------------------------------------------

 防火墙策略管理(firewall)

作用:隔离外网和内网

阻止外网(WAN)入站,允许内网(LAN)出站

系统服务:firewalld

管理工具:firewall-cmd(命令)、firewall-config(图形)

查看防火墙服务状态

[[email protected] ~]# systemctl status firewalld.service

根据所在的网络场所区分,预设保护规则集

– public(默认的区域):仅允许访问本机的sshd等少数几个服务

– trusted:允许任何访问

– block:拒绝任何来访请求(客户端请求会回应并拒绝)

– drop:丢弃任何来访的数据包(直接拒绝没有任何回应)

 防火墙判断的规则:匹配及停止

1.首先看请求(客户端)当中的源IP地址,所有区域中是否有对于该IP地址的策略,如果有则该请求进入该区域

2.进入默认区域

虚拟机desktop0:

# firefox http://172.25.0.11  #访问失败,因为没有添加http服务

# firefox ftp://172.25.0.11   #访问失败,因为没有添加ftp服务

虚拟机server0:

# firewall-cmd --get-default-zone       #查看默认区域为public

# firewall-cmd --zone=public --list-all #查看区域规则信息

public (default, active)

interfaces: eth0 eth1 eth2 team0

sources:

services: dhcpv6-client ssh    #支持的服务

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

# firewall-cmd --zone=public --add-service=http #添加服务

# firewall-cmd --zone=public --list-all   #查看区域规则信息

public (default, active)

interfaces: eth0 eth1 eth2 team0

sources:

services: dhcpv6-client http ssh   #已添加http服务

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

虚拟机desktop0:

# firefox http://172.25.0.11  #访问成功

# firefox ftp://172.25.0.11   #访问失败

虚拟机server0:

# firewall-cmd --zone=public --add-service=ftp

# firewall-cmd --zone=public --list-all

public (default, active)

interfaces: eth0 eth1 eth2 team0

sources:

services: dhcpv6-client ftp http ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

虚拟机desktop0:

# firefox ftp://172.25.0.11   #访问成功

-------------------------------------------------------------------------------------------

--permanent选项:实现永久设置

虚拟机server0:

# firewall-cmd --reload   #重新加载防火墙,关闭之前添加的服务

# firewall-cmd --zone=public --list-all  #重新后之前设置的服务会消失

# firewall-cmd --permanent --zone=public  --add-service=ftp

# firewall-cmd --permanent --zone=public --add-service=http

# firewall-cmd --reload   #重新加载防火墙

# firewall-cmd --zone=public --list-all

-------------------------------------------------------------------------------------------

修改默认的区域,不需要加上--permanent

虚拟机desktop0:

# ping 172.25.0.11     #可以通信

虚拟机server0:

# firewall-cmd --set-default-zone=block   #修改默认区域为block

# firewall-cmd --get-default-zone         #查看默认区域

虚拟机desktop0:

# ping 172.25.0.11   #不可以通信

虚拟机server0:

# firewall-cmd --set-default-zone=drop    #修改默认区域为drop

# firewall-cmd --get-default-zone

虚拟机desktop0:

# ping 172.25.0.11   #通信无反馈

-------------------------------------------------------------------------------------------

虚拟机server0:

# firewall-cmd --permanent --zone=public --add-source=172.25.0.10    #添加客户端desktop源IP

# firewall-cmd --zone=public --list-all

# firewall-cmd --reload

# firewall-cmd --zone=public --list-all

虚拟机desktop0:

# firefox http://172.25.0.11

-------------------------------------------------------------------------------------------

实现本机的端口映射

本地应用的端口重定向(端口1 --> 端口2)

– 从客户机访问 端口1 的请求,自动映射到本机 端口2

– 比如,访问以下两个地址可以看到相同的页面:

虚拟机desktop0:

# firefox http://172.25.0.11:5423-------》172.25.0.11:80

虚拟机server0:

# firewall-cmd --permanent --zone=public

--add-forward-port=port=5423:proto=tcp:toport=80

# firewall-cmd --reload

# firewall-cmd --zone=public --list-all

虚拟机desktop0:

# firefox http://172.25.0.11:5423

时间: 2024-11-07 14:38:55

linux管理员技术-01 -SElinux、配置高级连接、防火墙管理策略、的相关文章

系统安全保护 配置用户环境 配置高级连接 防火墙策略管理

SELinux概述? Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系– 集成到Linux内核(2.6及以上)中运行– RHEL7基于SELinux体系针对用户.进程.目录和文件提供了预设的保护策略,以及管理工具 ? SELinux的运行模式– enforcing(强制).permissive(宽松)– disabled(彻底禁用) 任何状态变成disabled(彻底禁用),都必须通过重起reboot ? 切换运行模式

Linux 管理员技术

01. 通配符 *.?.[].{}的作用 *:任意多个任意字符 ?:单个字符 [a-z]:多个字符或连续范围中的一个,若无则忽略 {a,min,xy}:多组不同的字符串,全匹配 02. 使用 nmcli 创建一个新连接,并为其配置静态 IP 地址等参数 # nmcli connection add con-name "连接名" ifname "接口名" type ethernet # nmcli connection modify "连接名" i

管理员技术(五): 配置文档的访问权限、 配置附加权限、绑定到LDAP验证服务、配置LDAP家目录漫游

一.配置文档的访问权限 问题: 本例要求将文件 /etc/fstab 拷贝为 /var/tmp/fstab,并调整文件 /var/tmp/fstab的权限,满足以下要求: 1>  此文件的拥有者是 root       2> 此文件属于 root 组       3> 此文件对任何人都不可执行       4> 用户 natasha 能够对此文件执行读和写操作       5> 用户 harry 对此文件既不能读,也不能写       6> 所有其他用户(当前的和将来的

谢烟客---------Linux之ip及ifcfg配置网络连接

ip 网络层协议 ip地址 点分十进制分为4段,范围 0-255 ip分类 A 占据1段,最左侧一段第一位固定为0 0 000 0000 - 0 111 1111 0 - 127:其中0为网络,127 本地主机内部通信. 网络数: 2^7-2=126个 每个网络中的主机数: 2^24=16777216 (1677736) 默认子网掩码: 255.0.0.0 私网地址: 10.0.0.0/8 (8:网络段全为1,有8位) B 占据2段,最左侧一段第一位固定为10 10 00 0000 - 10 1

树莓派3B 无显示器,无键盘,无Linux系统,无网线 配置WIFI连接

冷门的东西,今天搜了一下,还真有用,与大家分享下 记得第一次玩树莓派的时候,没有显示器不能活,什么信息都要显示器看 后来稍微好一点了,找个路由器,插网线上去开机,然后进路由器界面得到树莓派IP 然后SSH登录树莓派 1.sudo nano /etc/network/interface 配置一下无线网,重启树莓派,树莓派就既有网线联网,又有无线网联网了,然后就可以拔下网线了,单独用wifi链接路由器 第二种方式,在电脑上操作 首先烧录新系统,烧完系统后由于windows系统不能识别Linux的,所

linux存储技术与应用:配置iSCSI服务及应用示例

实验:配置iSCSI服务,(服务4.103,客户4.254/4.100) 先添加一块新硬盘 fdisk -cu /dev/sdb    # 进入磁盘分区模式 分区模式中输入以下信息进行:分区 -n            #新建分区 -p            #创建主分区 1             #第一个分区 回车 +1G        #第一个分区大小 w             #保存并退出 lsblk    可以发现新分区已经存在 mount /dev/sdb1  /var/lib/m

Linux -- SELinux配置及应用(1)

一.SELinux 与强制访问控制系统 SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件.网络端口等). 强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力.所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复. 举例来说,系统上的 Apache 被发现存

linux平台配置odbc连接dm7达梦数据库

达梦数据库以 RDBMS 为核心,以 SQL 为标准,是一个能跨越多种软硬件平台.具有大型数据综合管理能力的.高效稳定的通用数据库管理系统.(本次实验环境以dm7为例) DM7 提供了多种数据库访问接口,包括 ODBC.JDBC.DPI.OLEDB 以及嵌入方式等. 下面介绍Linux 平台如何配置ODBC 连接DM7 达梦数据库,这里主要讲手工配置DM7 的ODBC 连接. 1.环境说明 系统环境:中标麒麟NeoKylin Advance V6.0 x86_64.iso [[email pro

Linux学习之八-配置FTP连接Linux服务器

配置ftp连接Linux服务器 通过配置ftp服务器,可以实现局域网内共享文件,甚至不同用户具有不同权限,需要的工具有Windows平台ftp客户端FileZilla(免费开源) 下载地址:https://download.filezilla-project.org/client/FileZilla_3.32.0_win64-setup_bundled.exe 登录到Linux服务器端,安装ftp服务端yum install vsftpd –y 启动ftp服务端/etc/init.d/vsftp