Security-Enhanced Linux
由美國NSA主導開發,一套增強Linux系統安全的強制通路控制體系
內建到Linux核心(2.6及以上)中運作
RHEL7基于SELinux體系針對使用者、程序、目錄和檔案提供了預設的保護政策以及管理工具
enforcing:強制,發現危險行為直接禁止
permissive:寬松,發現危險行為做記錄,極端危險行為也會直接禁止
disabled:徹底不用SELinux
getenforce #檢視SELinux運作模式
setenforce 0 #臨時修改成permissive模式
SELinux的配置檔案,修改SELINUX=permissive,這樣就設定了電腦下次啟動時的SELinux狀态為permissive
和HSRP的功能類似,team的主要功能是對網卡裝置進行備份。由多塊網卡(team-slave)一起組建的虛拟網卡,即組隊
man nmcli-examples可以看配置示例
輪詢(roundrobin)
熱備份(activebackup):可以man teamd.conf,查找example,在第二個examle裡面能看到"runner": {"name": "activebackup"}
nmcli connection add type team con-name team0 ifname team0 config '{"runner":{"name":"activebackup"}}'
nmcli connection add type team-slave ifname eth1 master team0
nmcli connection add type team-slave ifname eth2 master team0
nmcli connection modify team0 ipv4.method manual ipv4.addresses '172.16.3.25/24' connection.autoconnect yes
nmcli connection up team-slave-eth1
nmcli connection up team-slave-eth2
nmcli connection up team0
teamdctl team0 state
ifconfig down eth1
128個二進制,8組用冒号分隔的十六進制數。每段内連續的前置0可省略、128個0為::
表示IPV6的任意位址
nmcli connection modify ‘System eth0' ipv6.method manual ipv6.addresses ‘2003:ac18::305/64' connection.autoconnect yes
隻影響指定使用者的bash解釋器環境,每次開啟bash終端後生效
影響所有使用者的bash解釋器環境,每次開啟bash終端後生效
服務端:Apache(組織)寫出了httpd(軟體)
安裝httpd軟體包
啟動httpd并設定為開機啟動
apache預設網站的網頁檔案根目錄
apache預設首頁檔案名
FTP主動/被動模式
資料:tcp/21 ftp控制指令
資料連接配接端口:tcp/20 上傳/下載下傳
主動模式:用戶端主動向伺服器的21端口發起連接配接,身份驗證通過後,用戶端打開一個高于1024的随機端口,假設是6666。用戶端會用PORT指令告知伺服器“我打開了6666端口,你可以來連接配接我。”。然後伺服器用20端口與用戶端的6666端口建立連接配接,開始資料的傳輸。這裡的主動是指伺服器主動把資料給用戶端。
被動模式:當用戶端所在網絡使用了防火牆的時候,主動模式下伺服器企圖與用戶端的随機高端口建立連接配接的行為很有可能被用戶端的防火牆阻塞掉。這時用戶端會做兩件事情:
1.主動向伺服器的21端口發起連接配接進行身份驗證。
2.主動向伺服器發送PASV指令,伺服器會打開一個高于1024的随機端口,假設是7777端口。打開端口後會向用戶端發PORT 7777指令,等于告訴用戶端“我打開了7777端口,你可以來連接配接我。”,用戶端會主動與7777端口連接配接,開始資料的傳輸。
主動FTP對FTP伺服器的管理有利,但對用戶端的管理不利。因為FTP伺服器企圖與用戶端的高位随機端口建立連接配接,而這個端口很有可能被用戶端的防火牆阻塞掉。被動FTP對FTP用戶端的管理有利,但對伺服器端的管理不利。因為用戶端要與伺服器端建立兩個連接配接,其中一個連到一個高位随機端口,而這個端口很有可能被伺服器端的防火牆阻塞掉。
安裝vsftp軟體包
啟動vsftpd并設定為開機啟動
預設共享目錄路徑
防火牆最大的作用是隔離。阻止入站,允許出站。
管理工具:firewall-cmd、firewall-config(圖形界面)
服務名稱:firewalld
強大的地方:
-可以檢測tcp協定三次握手中的辨別位(SYN,ACK,FIN),如果有用戶端一直發SYN,但是沒建立連接配接;可以判斷在嘗試密碼,可以丢入規則比較嚴格的區域;如果還是發SYN,則會丢入block區域;如果還發SYN,那麼就丢入drop區域
-可以流量檢測,設定流量優先級,比如百度流量優先
根據所在的網絡場所區分,預設保護規則集。
必須記住的安全區域
public:僅允許通路本機的sshd等少數幾個服務
trusted:允許任何通路
block:拒絕任何來訪的請求
drop:丢棄任何來訪的資料包。(生産環境常用)
......
檢視預設安全區域
檢視public區域的所有規則
檢視用戶端的請求當中的源IP位址,比對所有區域中的政策,如果有政策則放該請求進入該區域;如果沒有政策則放請求進入預設區域。政策比對則停止
為public區域添加允許通路http服務。因為firewalld可以識别7層的資料包,是以可以寫協定名稱
設定的規則永久寫入到防火牆配置檔案中
重新加載防火牆配置檔案,使通過--permanent寫入的規則生效
修改預設區域,直接是永久生效的,不需要加--permanent選項
添加信任的IP網段為172.25.0.0/24
設定端口轉發,在public區域裡面對tcp/5423端口轉發到tcp/80端口
本文轉自 goldwinner 51CTO部落格,原文連結:http://blog.51cto.com/355665/2068704,如需轉載請自行聯系原作者
![Apache配置SSLApache配置SSL[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)