系統安全保護
SELinux概述
• Security-Enhanced Linux
– 美國NSA國家安全局主導開發,一套增強Linux系統安全的強制通路控制體系
– 內建到Linux核心(2.6及以上)中運作
– RHEL7基于SELinux體系針對使用者、程序、目錄和檔案提供了預設的保護政策,以及管理工具
• SELinux的運作模式
– enforcing(強制)、permissive(寬松)
– disabled(徹底禁用)
• 切換運作模式
– 臨時切換:setenforce 1|0
– 固定配置:/etc/selinux/config 檔案
– 如果修改SELinux狀态為disabled(徹底禁用),需要修改/etc/selinux/config 檔案并且重起
防火牆政策管理
• 系統服務:firewalld
• 管理工具:firewall-cmd、firewall-config
作用:隔離, 嚴格控制入站請求,放行所有出站
– 永久配置(permanent)
• 根據所在的網絡場所區分,預設保護規則集
– public:僅允許通路本機的sshd等少數幾個服務
– trusted:允許任何通路
– block:拒絕任何來訪請求
– drop:丢棄任何來訪的資料包
指令:firewall-cmd --get-default-zone #檢視預設區域
指令:firewall-cmd --zone=public --list-all #檢視區域規則
指令:firewall-cmd --set-default-zone=block #修改預設區域
指令:firewall-cmd --zone=public --add-service=http #添加服務
指令:firewall-cmd --reload #重新加載防火牆配置
實作本機的端口映射
從客戶機通路 ------》172.25.0.11:5423-----------》172.25.0.11:80
指令:firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
指令: firewall-cmd --zone=block --list-all #檢視被禁用的IP或服務