本文共 3880 字,大约阅读时间需要 12 分钟。
SELinux的运行模式enforcing(强制)、permissive(宽松)disabled(彻底禁用) 任何模式变成disabled都要经历重起系统切换运行模式临时切换:setenforce 1|0固定配置:/etc/selinux/config 文件
两台虚拟机均设备状态为Permissive(宽松模式)[root@server0 ~]# getenforce #查看当前SELinux状态Enforcing[root@server0 ~]# vim /etc/selinux/configSELINUX=permissive[root@server0 ~]# setenforce 0 #修改宽松的运行模式[root@server0 ~]# getenforce Permissive[root@server0 ~]# setenforce 1 #修改强制的运行模式[root@desktop0 ~]# getenforceEnforcing[root@desktop0 ~]# vim /etc/selinux/configSELINUX=permissive[root@desktop0 ~]# setenforce 0[root@desktop0 ~]# getenforcePermissive
配置用户环境
• 影响指定用户的 bash 解释环境– ~/.bashrc,每次开启 bash 终端时生效• 影响所有用户的 bash 解释环境– /etc/bashrc,每次开启 bash 终端时生效[root@server0 ~]# vim /root/.bashrc alias hello='echo hello'[root@server0 ~]# vim /home/student/.bashrcalias hi='echo hi'[root@server0 ~]# vim /etc/bashrcalias haxi='echo hahaxixi'[root@server0 ~]# hello #运行成功[root@server0 ~]# hi #运行失败[root@server0 ~]# haxi #运行成功[root@server0 ~]# su - student[student@server0 ~]$ hello #运行失败[student@server0 ~]$ hi #运行成功 [student@server0 ~]$ haxi #运行成功
防火墙
在虚拟机server:搭建Web服务 1.安装httpd(Apache)软件包(服务端软件)你学会的Apache那么Nginx和Tomcat就好学一点[root@server0 ~]# yum -y install httpd 2.重起httpd服务[root@server0 ~]# systemctl restart httpd[root@server0 ~]# systemctl enable httpd3.书写一个页面文件默认网页文件的名字:index.html[root@server0 ~]# vim /var/www/html/index.html
虚拟机server搭建FTP服务(实现文件的传输)
1.安装vsftpd服务端软件[root@server0 ~]# yum -y install vsftpd2.重起vsftpd服务[root@server0 ~]# systemctl restart vsftpd[root@server0 ~]# systemctl enable vsftpd3.本机访问[root@server0 ~]# firefox ftp://172.25.0.114.默认FTP共享数据的路径:/var/ftp
防火墙的应用
作用: 隔离 过滤 硬件防火墙:一般保护的一个网络所有主机 软件防火墙:一般保护本机 RHEL7的防火墙体系• 系统服务:firewalld• 管理工具:firewall-cmd(命令)、firewall-config(图形)默认规则: 允许出站,过滤入站预设安全区域• 根据所在的网络场所区分,预设保护规则集– public:仅允许访问本机的sshd dhcp ping少数几个服务– trusted:允许任何访问– block:拒绝任何来访请求(明确拒绝)– drop:丢弃任何来访的数据包(非明确拒绝,直接丢弃,节省资源)数据包: 源IP地址 目标IP地址 数据
防火墙判断的机制: 匹配及停止
1.查看客户端数据包中源IP地址,查看所有区域哪一个区域有该源IP地址策略,则进入该区域 2.进入默认区域(public)默认区域的修改虚拟机server0:# firewall-cmd --get-default-zone #查看默认区域# firewall-cmd --set-default-zone=block #修改默认区域# firewall-cmd --get-default-zone虚拟机desktop0:# ping 172.25.0.11 #不能通信,但有回应虚拟机server0:# firewall-cmd --get-default-zone # firewall-cmd --set-default-zone=drop# firewall-cmd --get-default-zone 虚拟机desktop0:# ping 172.25.0.11 #不能通信,没有回应
在区域中添加允许的协议
互联网常见的协议 http:超文本传输协议 80 https:安全超文本传输协议 443 FTP:文件传输协议 21 DNS:域名解析协议 69 telnet:远程管理协议 53 tftp:简单文件传输协议 23 SMTP:邮件协议(用户发邮件) 25 pop3:邮件协议(用户收邮件) 110 snmp:网络管理协议 161
***虚拟机server0:# firewall-cmd --set-default-zone=public # firewall-cmd --zone=public --list-all #查看区域规则# firewall-cmd --zone=public --add-service=http# firewall-cmd --zone=public --list-all 虚拟机desktop0:# firefox 172.25.0.11 #访问成功# firefox ftp://172.25.0.11 #访问失败虚拟机server0:# firewall-cmd --zone=public --add-service=ftp# firewall-cmd --zone=public --list-all 虚拟机desktop0:# firefox 172.25.0.11 #访问成功# firefox ftp://172.25.0.11 #访问成功
永久防火墙策略
– 永久(permanent):将规则写入相关配置文件# firewall-cmd --reload #重新加载防火墙所有配置文件规则# firewall-cmd --zone=public --list-all# firewall-cmd --permanent --zone=public --add-service=httpd permissive# firewall-cmd --zone=public --list-all# firewall-cmd --reload #重新加载防火墙所有配置文件规则# firewall-cmd --zone=public --list-all# firewall-cmd --permanent --zone=public --add-service=ftp# firewall-cmd --reload #重新加载防火墙所有配置文件规则# firewall-cmd --zone=public --list-all临时删除# firewall-cmd --zone=public --remove-service=http永久删除(删除配置文件中规则)# firewall-cmd --permanent --zone=public --remove-service=http# firewall-cmd --reload # firewall-cmd --zone=public --list-all
转载地址:http://frnwi.baihongyu.com/