LINUX安全管理

一、sudo命令

1.限制使用sudo的用户

2.使用sudo提升权限

vim /etc/sudoers

用户  主机名=（用户）命令程序列表

例如

• gzist：指定了要配置权限的用户为 gzist。
• ALL：指定了该权限配置适用于所有主机。
• =(root)：表示 gzist 用户以 root 身份运行命令。
• NOPASSWD:/bin/ls：指定了允许 gzist 用户以 root 用户身份在所有终端上执行 /bin/ls 命令，并且不需要输入密码。

3.限制root只在安全终端登录

vim /etc/securetty

centos7 在命令行用chvt 数字切换终端(需要root权限)虚拟机会立即切换终端

然后 尽量别用chvt 7会卡住(解决方案：cirl+alt+F4切换到tty4)

二、防火墙管理

SELINUX模式（访问服务器时要关闭）

配置文件：/etc/selinux/config

三种工作模式：permissive/enforcing/disabled

想永久修改模式就得修改配置文件

其中enforcing为强制模式,disabled为关闭模式，permissive为宽容模式

setenforce 0 将模式暂时切换到permissive

getenforce 查看此时模式

iptables

三种动作：ACCEPT（接受）、DROP（丢弃） 、REJECT（拒收）

iptables -nvL查看默认表（filter）

iptables -F清空规则

添加规则

iptables -t 表名 -A 链名 匹配条件 -j 动作

删除规则

修改规则

默认策略都为ACCEPT

以上都是会重启失效的

进行以下操作不会失效

-s 源地址 -d目的地址

iptables input -s 目的ip  -d 自己的ip

此时来自目的主机ping自己的Ip会显示联不通，自己主机ping源主机会卡

iptables Output -s 目的ip -d 自己的ip 两个都能ping联通

iptables Output -s自己的ip -d 目的ip  自己主机ping目的主机会有权限拒绝

目的主机ping自己主机会卡住

-p 协议 --dport/--sport 端口号

入站和出站是涉及网络安全的两个重要概念。在这里，我们来看看 ens33 网络接口的入站和出站的区别：

入站：
入站是指从另一个网络地址向本地计算机发送数据或请求，也称为进入网络。如同其名称所暗示的一样，入站流量指的是流向本地系统的网络数据流。入站网络数据包从网络进入计算机时会首先被防火墙过滤，仅允许满足特定规则的数据包进入计算机内部。

例如，当你在 ens33 接口上运行 web 服务器时，你需要将 HTTP 流量放行以允许从外部网络（例如互联网）或其他本地网络（例如局域网）发出的请求进入该计算机。

出站：
出站是指从本地计算机向另一个网络地址发送数据或请求。出站流量指的是从计算机离开网络的数据流。出站流量遇到出站防火墙时会首先被过滤，只有在满足出站防火墙规则的情况下才能够被发送出去。

例如，当你从该计算机向互联网发送网络请求（例如访问网站或发送电子邮件），网络请求数据包会首先经过出站防火墙，然后该出站防火墙会根据规则判断该数据包是否应该被允许通过 ens33 网络接口发送到互联网。

总之，入站和出站是两个重要的网络安全概念，对于 ens33 接口的防火墙规则设置，需要仔细考虑入站和出站的数据流，并根据实际需求进行设置，以确保计算机和网络的安全。

设置黑白名单

Ip跳转

示例如下

-d 搭载服务器的主机地址

配置一切在未搭载服务器的主机进行

firewalld

检查是否开启 firewall-cmd --state

启动服务 systemctl start firewalld

查看信息区域 firewall-cmd --list-all

禁用其他防火墙

放行规则：

例如

--add-service=httpd

--add-port=80/tcp

禁用http

拒绝端口/协议

ip跳转

示例如下

此刻的主机80端口跳转到192.168.199.132的80端口

富规则集操作

移除富规则集

--remove-rich-rule='匹配的内容'