系统安全保护以及防火墙策略管理

Posted 2020-10-20

系统安全保护 SELinux概述 ? Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 – 集成到Linux内核(2.6及以上)中运行 – RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具 ? SELinux的运行模式 – enforcing(强制)、permissive(宽松) – disabled(彻底禁用) ? 切换运行模式 – 临时切换:setenforce 1|0 – 固定配置:/etc/selinux/config 文件 – 如果修改SELinux状态为disabled(彻底禁用)，需要修改/etc/selinux/config 文件并且重起 防火墙策略管理 ? 系统服务:firewalld ? 管理工具:firewall-cmd、firewall-config 作用：隔离， 严格控制入站请求，放行所有出站 – 永久配置(permanent) ? 根据所在的网络场所区分,预设保护规则集 – public:仅允许访问本机的sshd等少数几个服务 – trusted:允许任何访问 – block:拒绝任何来访请求 – drop:丢弃任何来访的数据包 命令：firewall-cmd --get-default-zone #查看默认区域 命令：firewall-cmd --zone=public --list-all #查看区域规则 命令：firewall-cmd --set-default-zone=block #修改默认区域 命令：firewall-cmd --zone=public --add-service=http #添加服务 命令：firewall-cmd --reload #重新加载防火墙配置 实现本机的端口映射 从客户机访问 ------》172.25.0.11:5423-----------》172.25.0.11:80 命令：firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80 命令： firewall-cmd --zone=block --list-all #查看被禁用的IP或服务