Linux运维之道之ENGINEER1.0(系统安全,高级链接,防火墙策略)
ENGINEERlinux
系统安全保护:vim
SELinux安全机制:安全
概述:bash
美国NSA国家安全局主导开发,一套加强Linux系统安全的强制访问控制体制;ssh
集成到Linux内核(2.6及以上中)运行;tcp
RHEL7基于SElinux体系针对用户,进程,目录和文件,提供了预设的保护策略,以及管理管理工具ide
SElinux运行模式的切换:函数
SElinux的运行模式:工具
--enforcing(强制)spa
--permissive(宽松)
--disabled(完全禁用)
切换运行模式:
#getenforce //查看当前模式
#vim /etc/selinux/config
SELINUX=enforcing //设置为强制启用
#reboot //重起系统以切换模式
-------------------------------------------------------------------------------------------------------------------------------------------
配置用户环境
自定义命令:
Linux命令字的来源:
如何指定命令字:
指令名:函数>别名>内部命令>外部命令
可执行程序的路径
什么是别名:
---在一个用户环境中,为一个复杂的,须要常用的命令行所起的短名称;
---可用来替换普通命令,更加方便;
alias别名设置:
定义新的别名:
---alias 别名名称=“实际执行的命令行”
取消别名:
---unalias 别名名称
-----------------------------------------------------------------------------------------
用户初始化文件
用户个性化配置文件:
---~/bashrc,每次开启bash终端时生效
#su - student #仅对学生用户有效
全局环境配置
影响全部用户的bash解释环境
---/etc/bashrc ,每次开启bash终端时生效
#su - root
----------------------------------------------------------------------------------------
配置ipv6地址:
nmcli命令行配置:
#nmcli con mod "System eth0" ipv6.method manual ipv6 addresses 2003:ac18::305/64
激活更改过的链接:
#nmcli con up “System eth0”
-------------------------------------------------------------------------------------
配置聚合链接
链路聚合的优点:
team,链路聚合
添加team设备
#nmcli con add type team con-name team0 ifname team0 config ‘{“runner”: {“name”:“activebackup”}}’
#cat /etc/sysconfig/network-scripts/ifconfig-team0
#ifconfig
2.添加成员
#nmcli con add type team-slave ifname eth1 master team0
#nmcli con add type team-slave ifname eth2 master team0
3.配置team0的ip地址
#nmcli con mod team0 ipv4.method manual ipv4.add 192.168.1.1/24 con.auto yes
4.激活team0
#nmcli con up team-slave-eth1
#nmcli con up team-slave-eth2
#nmcli con up team0
5.验证
#teamdctl team0 state
-------------------------------------------------------------------------------------
防火墙策略管理
做用:隔离;
阻止入站,容许出站;
系统服务:firewalld
管理工具:firewall-cmd(命令) firewall-config(图形)
查看防火墙服务状态:#systemctl status firewalld.service
预设保护规则集:
--public:仅容许访问本机的sshd等少数几个;;
--trusted:容许任何访问
--block:阻塞任何访问
--drop:丢弃任何来访的数据包;
防火墙判断规则:匹配及中止:
=首先看清请求中的源ip地址,全部区域中是否有对于该ip地址的策略,若是有则请求进入该区域
进入默认区域
查看默认区域:
#firewall-cmd --get-default-zone
#firewall-cmd --zone=public --list-all
添加服务:
#firewall-cmd --zone=public --add-service=http
加上-permanent选项:实现永久配置
#firewall-cmd --reload #从新加载防火墙
#firewall-cmd --zone=public --list-all
修改默认区域:
#firewall-cmd --set-default-zone=block 适用于教学环境(没法打开)
#firewall-cmd --fet-default-zone=drop 适用于工做环境(永远询问)
实现本机的端口映射:
#firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
#firewall-cmd --reload
#firewall-cmd --zone=public --list-all
- 1. 防火墙安全策略
- 2. 防火墙策略之iptables
- 3. 防火墙安全策略技术
- 4. Exchange部署之:Exchange高级防火墙策略和端口
- 5. ensp实战之防火墙安全转发策略
- 6. linux系统服务之防火墙
- 7. linux系统firewalld火墙优化策略
- 8. Linux -- 系统安全之NAT及防火墙的混合应用
- 9. Linux -- 系统安全之Iptables防火墙(2)
- 10. Linux系统安全防火墙篇之 Firewall(CentOS 7)
- 更多相关文章...
- • 使用TCP协议检测防火墙 - TCP/IP教程
- • Markdown 链接 - Markdown 教程
- • Docker容器实战(七) - 容器眼光下的文件系统
- • 互联网组织的未来:剖析GitHub员工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。