Linux運維之道之ENGINEER1.0(系統安全,高級鏈接,防火牆策略)
ENGINEERlinux
系統安全保護:vim
SELinux安全機制:安全
概述:bash
美國NSA國家安全局主導開發,一套加強Linux系統安全的強制訪問控制體制;ssh
集成到Linux內核(2.6及以上中)運行;tcp
RHEL7基於SElinux體系針對用戶,進程,目錄和文件,提供了預設的保護策略,以及管理管理工具ide
SElinux運行模式的切換:函數
SElinux的運行模式:工具
--enforcing(強制)spa
--permissive(寬鬆)
--disabled(完全禁用)
切換運行模式:
#getenforce //查看當前模式
#vim /etc/selinux/config
SELINUX=enforcing //設置爲強制啓用
#reboot //重起系統以切換模式
-------------------------------------------------------------------------------------------------------------------------------------------
配置用戶環境
自定義命令:
Linux命令字的來源:
如何指定命令字:
指令名:函數>別名>內部命令>外部命令
可執行程序的路徑
什麼是別名:
---在一個用戶環境中,爲一個複雜的,須要常用的命令行所起的短名稱;
---可用來替換普通命令,更加方便;
alias別名設置:
定義新的別名:
---alias 別名名稱=「實際執行的命令行」
取消別名:
---unalias 別名名稱
-----------------------------------------------------------------------------------------
用戶初始化文件
用戶個性化配置文件:
---~/bashrc,每次開啓bash終端時生效
#su - student #僅對學生用戶有效
全局環境配置
影響全部用戶的bash解釋環境
---/etc/bashrc ,每次開啓bash終端時生效
#su - root
----------------------------------------------------------------------------------------
配置ipv6地址:
nmcli命令行配置:
#nmcli con mod "System eth0" ipv6.method manual ipv6 addresses 2003:ac18::305/64
激活更改過的鏈接:
#nmcli con up 「System eth0」
-------------------------------------------------------------------------------------
配置聚合鏈接
鏈路聚合的優點:
team,鏈路聚合
添加team設備
#nmcli con add type team con-name team0 ifname team0 config ‘{「runner」: {「name」:「activebackup」}}’
#cat /etc/sysconfig/network-scripts/ifconfig-team0
#ifconfig
2.添加成員
#nmcli con add type team-slave ifname eth1 master team0
#nmcli con add type team-slave ifname eth2 master team0
3.配置team0的ip地址
#nmcli con mod team0 ipv4.method manual ipv4.add 192.168.1.1/24 con.auto yes
4.激活team0
#nmcli con up team-slave-eth1
#nmcli con up team-slave-eth2
#nmcli con up team0
5.驗證
#teamdctl team0 state
-------------------------------------------------------------------------------------
防火牆策略管理
做用:隔離;
阻止入站,容許出站;
系統服務:firewalld
管理工具:firewall-cmd(命令) firewall-config(圖形)
查看防火牆服務狀態:#systemctl status firewalld.service
預設保護規則集:
--public:僅容許訪問本機的sshd等少數幾個;;
--trusted:容許任何訪問
--block:阻塞任何訪問
--drop:丟棄任何來訪的數據包;
防火牆判斷規則:匹配及中止:
=首先看清請求中的源ip地址,全部區域中是否有對於該ip地址的策略,若是有則請求進入該區域
進入默認區域
查看默認區域:
#firewall-cmd --get-default-zone
#firewall-cmd --zone=public --list-all
添加服務:
#firewall-cmd --zone=public --add-service=http
加上-permanent選項:實現永久配置
#firewall-cmd --reload #從新加載防火牆
#firewall-cmd --zone=public --list-all
修改默認區域:
#firewall-cmd --set-default-zone=block 適用於教學環境(沒法打開)
#firewall-cmd --fet-default-zone=drop 適用於工做環境(永遠詢問)
實現本機的端口映射:
#firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
#firewall-cmd --reload
#firewall-cmd --zone=public --list-all
- 1. 防火牆安全策略
- 2. 防火牆策略之iptables
- 3. 防火牆安全策略技術
- 4. Exchange部署之:Exchange高級防火牆策略和端口
- 5. ensp實戰之防火牆安全轉發策略
- 6. linux系統服務之防火牆
- 7. linux系統firewalld火牆優化策略
- 8. Linux -- 系統安全之NAT及防火牆的混合應用
- 9. Linux -- 系統安全之Iptables防火牆(2)
- 10. Linux系統安全防火牆篇之 Firewall(CentOS 7)
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • Markdown 鏈接 - Markdown 教程
- • Docker容器實戰(七) - 容器眼光下的文件系統
- • 互聯網組織的未來:剖析GitHub員工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。