Linux运维之道之ENGINEER1.0(系统安全,高级连接,防火墙策略)
2017-11-01 22:58
711 查看
ENGINEER系统安全保护:
SELinux安全机制:
概述:
美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体制;
集成到Linux内核(2.6及以上中)运行;
RHEL7基于SElinux体系针对用户,进程,目录和文件,提供了预设的保护策略,以及管理管理工具
SElinux运行模式的切换:
SElinux的运行模式:
--enforcing(强制)
--permissive(宽松)
--disabled(彻底禁用)
切换运行模式:
#getenforce //查看当前模式
#vim /etc/selinux/config
SELINUX=enforcing //设置为强制启用
#reboot //重起系统以切换模式
-------------------------------------------------------------------------------------------------------------------------------------------
配置用户环境自定义命令:
Linux命令字的来源:
如何指定命令字:
指令名:函数>别名>内部命令>外部命令
可执行程序的路径
什么是别名:
---在一个用户环境中,为一个复杂的,需要经常使用的命令行所起的短名称;
---可用来替换普通命令,更加方便;
alias别名设置:
定义新的别名:
---alias 别名名称=“实际执行的命令行”
取消别名:
---unalias 别名名称
-----------------------------------------------------------------------------------------
用户初始化文件用户个性化配置文件:
---~/bashrc,每次开启bash终端时生效
#su - student #仅对学生用户有效
全局环境配置
影响所有用户的bash解释环境
---/etc/bashrc ,每次开启bash终端时生效
#su - root
----------------------------------------------------------------------------------------
配置ipv6地址:nmcli命令行配置:
#nmcli con mod "System eth0" ipv6.method manual ipv6 addresses 2003:ac18::305/64
激活更改过的连接:
#nmcli con up “System eth0”
-------------------------------------------------------------------------------------
配置聚合连接链路聚合的优势:
team,链路聚合
添加team设备
#nmcli con add type team con-name team0 ifname team0 config ‘{“runner”: {“name”:“activebackup”}}’
#cat /etc/sysconfig/network-scripts/ifconfig-team0
#ifconfig
2.添加成员
#nmcli con add type team-slave ifname eth1 master team0
#nmcli con add type team-slave ifname eth2 master team0
3.配置team0的ip地址
#nmcli con mod team0 ipv4.method manual ipv4.add 192.168.1.1/24 con.auto yes
4.激活team0
#nmcli con up team-slave-eth1
#nmcli con up team-slave-eth2
#nmcli con up team0
5.验证
#teamdctl team0 state
-------------------------------------------------------------------------------------
防火墙策略管理作用:隔离;
阻止入站,允许出站;
系统服务:firewalld
管理工具:firewall-cmd(命令) firewall-config(图形)
查看防火墙服务状态:#systemctl status firewalld.service
预设保护规则集:
--public:仅允许访问本机的sshd等少数几个;;
--trusted:允许任何访问
--block:阻塞任何访问
--drop:丢弃任何来访的数据包;
防火墙判断规则:匹配及停止:
=首先看清请求中的源ip地址,所有区域中是否有对于该ip地址的策略,如果有则请求进入该区域
进入默认区域
查看默认区域:
#firewall-cmd --get-default-zone
#firewall-cmd --zone=public --list-all
添加服务:
#firewall-cmd --zone=public --add-service=http
加上-permanent选项:实现永久配置
#firewall-cmd --reload #重新加载防火墙
#firewall-cmd --zone=public --list-all
修改默认区域:
#firewall-cmd --set-default-zone=block 适用于教学环境(无法打开)
#firewall-cmd --fet-default-zone=drop 适用于工作环境(永远询问)
实现本机的端口映射:
#firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
#firewall-cmd --reload
#firewall-cmd --zone=public --list-all
SELinux安全机制:
概述:
美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体制;
集成到Linux内核(2.6及以上中)运行;
RHEL7基于SElinux体系针对用户,进程,目录和文件,提供了预设的保护策略,以及管理管理工具
SElinux运行模式的切换:
SElinux的运行模式:
--enforcing(强制)
--permissive(宽松)
--disabled(彻底禁用)
切换运行模式:
#getenforce //查看当前模式
#vim /etc/selinux/config
SELINUX=enforcing //设置为强制启用
#reboot //重起系统以切换模式
-------------------------------------------------------------------------------------------------------------------------------------------
配置用户环境自定义命令:
Linux命令字的来源:
如何指定命令字:
指令名:函数>别名>内部命令>外部命令
可执行程序的路径
什么是别名:
---在一个用户环境中,为一个复杂的,需要经常使用的命令行所起的短名称;
---可用来替换普通命令,更加方便;
alias别名设置:
定义新的别名:
---alias 别名名称=“实际执行的命令行”
取消别名:
---unalias 别名名称
-----------------------------------------------------------------------------------------
用户初始化文件用户个性化配置文件:
---~/bashrc,每次开启bash终端时生效
#su - student #仅对学生用户有效
全局环境配置
影响所有用户的bash解释环境
---/etc/bashrc ,每次开启bash终端时生效
#su - root
----------------------------------------------------------------------------------------
配置ipv6地址:nmcli命令行配置:
#nmcli con mod "System eth0" ipv6.method manual ipv6 addresses 2003:ac18::305/64
激活更改过的连接:
#nmcli con up “System eth0”
-------------------------------------------------------------------------------------
配置聚合连接链路聚合的优势:
team,链路聚合
添加team设备
#nmcli con add type team con-name team0 ifname team0 config ‘{“runner”: {“name”:“activebackup”}}’
#cat /etc/sysconfig/network-scripts/ifconfig-team0
#ifconfig
2.添加成员
#nmcli con add type team-slave ifname eth1 master team0
#nmcli con add type team-slave ifname eth2 master team0
3.配置team0的ip地址
#nmcli con mod team0 ipv4.method manual ipv4.add 192.168.1.1/24 con.auto yes
4.激活team0
#nmcli con up team-slave-eth1
#nmcli con up team-slave-eth2
#nmcli con up team0
5.验证
#teamdctl team0 state
-------------------------------------------------------------------------------------
防火墙策略管理作用:隔离;
阻止入站,允许出站;
系统服务:firewalld
管理工具:firewall-cmd(命令) firewall-config(图形)
查看防火墙服务状态:#systemctl status firewalld.service
预设保护规则集:
--public:仅允许访问本机的sshd等少数几个;;
--trusted:允许任何访问
--block:阻塞任何访问
--drop:丢弃任何来访的数据包;
防火墙判断规则:匹配及停止:
=首先看清请求中的源ip地址,所有区域中是否有对于该ip地址的策略,如果有则请求进入该区域
进入默认区域
查看默认区域:
#firewall-cmd --get-default-zone
#firewall-cmd --zone=public --list-all
添加服务:
#firewall-cmd --zone=public --add-service=http
加上-permanent选项:实现永久配置
#firewall-cmd --reload #重新加载防火墙
#firewall-cmd --zone=public --list-all
修改默认区域:
#firewall-cmd --set-default-zone=block 适用于教学环境(无法打开)
#firewall-cmd --fet-default-zone=drop 适用于工作环境(永远询问)
实现本机的端口映射:
#firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
#firewall-cmd --reload
#firewall-cmd --zone=public --list-all
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ENGINEER03 - 系统安全保护 配置用户环境 配置高级连接 防火墙策略管理 常见协议
- linux架构师高级系统调优策略
- Linux -- 系统安全之Iptables防火墙(1)
- LINUX安全运维之:文件系统的权限修改与安全设置
- 【安全运维】 linux 系统账户,网络,简易安全加固方案(第一部分),经测试可行
- win服务器防止安全策略或防火墙配置错误而导致远程无法连接的bat
- 安全运维之:Linux系统账户和登录安全(转)
- Linux -- 系统安全之NAT及防火墙的混合应用
- 初识运维4--Linux发行版系统(CentOS)的网络配置、远程连接和基本操作
- APF(Advanced Policy Firewall) linux下的高级策略防火墙
- linux防火墙,高级策略策略实例详解(实例一)
- Linux运维学习笔记之四:安装后的基本调优及安全设置(系统基础优化)
- Linux系统安全加固策略(二)
- linux系统安全常规优化---密码策略设置
- 基础篇七---服务器安全策略及linux防火墙介绍
- 在Linux系统下远程连接oracle的防火墙设置
- Linux系统安全管理高级技巧
- 【安全运维】linux系统加固(第二部分),经测试可行
- 阿里云linux服务器安全设置(防火墙策略等)
- 安全运维之:Linux系统账户和登录安全