系統安全保護以及防火墻策略管理
阿新 • • 發佈:2018-01-12
實現 映射 強制 允許 selinux 開發 etc 添加服務 tcp
系統安全保護
SELinux概述
? Security-Enhanced Linux
– 美國NSA國家安全局主導開發,一套增強Linux系統安全的強制訪問控制體系
– 集成到Linux內核(2.6及以上)中運行
– RHEL7基於SELinux體系針對用戶、進程、目錄和文件提供了預設的保護策略,以及管理工具
? SELinux的運行模式
– enforcing(強制)、permissive(寬松)
– disabled(徹底禁用)
? 切換運行模式
– 臨時切換:setenforce 1|0
– 固定配置:/etc/selinux/config 文件
– 如果修改SELinux狀態為disabled(徹底禁用),需要修改/etc/selinux/config 文件並且重起
防火墻策略管理
? 系統服務:firewalld
? 管理工具:firewall-cmd、firewall-config
作用:隔離, 嚴格控制入站請求,放行所有出站
– 永久配置(permanent)
? 根據所在的網絡場所區分,預設保護規則集
– public:僅允許訪問本機的sshd等少數幾個服務
– trusted:允許任何訪問
– block:拒絕任何來訪請求
– drop:丟棄任何來訪的數據包
命令:firewall-cmd --get-default-zone #查看默認區域
命令:firewall-cmd --zone=public --list-all #查看區域規則
命令:firewall-cmd --set-default-zone=block #修改默認區域
命令:firewall-cmd --zone=public --add-service=http #添加服務
命令:firewall-cmd --reload #重新加載防火墻配置
實現本機的端口映射
從客戶機訪問 ------》172.25.0.11:5423-----------》172.25.0.11:80
命令:firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
命令: firewall-cmd --zone=block --list-all #查看被禁用的IP或服務
系統安全保護以及防火墻策略管理