Linux基础 - 系统安全(SELinux与Firewalld)_selinux firewalld(3)

最新推荐文章于 2024-07-15 15:17:48 发布
最新推荐文章于 2024-07-15 15:17:48 发布
阅读量344 收藏 7
点赞数 3
文章标签: c语言 c++ 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84976110/article/details/138917646
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2)实例

4、指定默认的安全区域

1)命令

2)实例

5、管理方式

1)网段管理

2)服务管理

3)端口管理

一、SELinux概述

SELinux全称“Security-Enhanced Linux”,是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。

二、SELinux的运行模式

1、三种模式

Enforcing(强制)

Permissive(宽松)

Disabled(彻底禁用)

2、相关命令

1)查询

getenforce

2)切换模式

临时切换:setenforce 1|0 (1代表Enforcing,0代表Permissive)

永久配置:/etc/selinux/config文件

3、实例

1)查询
[root@wangwu ~]# getenforce

Enforcing
2)切换

临时切换

[root@wangwu ~]# setenforce 0

[root@wangwu ~]# getenforce

Permissive

[root@wangwu ~]# setenforce 1

[root@wangwu ~]# getenforce

Enforcing

永久配置

[root@wangwu ~]# cat /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.

... ... ...

SELINUX=enforcing

... ... ...

SELINUXTYPE=targeted

[root@wangwu ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux

[root@wangwu ~]# cat /etc/sysconfig/selinux                                    

# This file controls the state of SELinux on the system.

... ... ...

SELINUX=disabled

... ... ...

SELINUXTYPE=targeted

[root@wangwu ~]# reboot

[root@wangwu ~]# getenforce

Disabled

三、Firewalld概述

RHEL 7系统中集成了多款防火墙管理工具,其中firewalld全称“Dynamic Firewall Manager of Linux systems”,是Linux系统的动态防火墙管理器,服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。

四、防火墙体系

1、介绍

系统服务:firewalld

管理工具:firewall-cmd、firewall-config

2、预设安全区域

1)根据所在的网络场所区分,预设保护规则集
区域描述
block(限制)任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm- prohibited 信息所拒绝
dmz(非军事区)用于非军事区内的电脑,此区域内可公开访问,可以有限地逬入您的内部网络,仅仅接收经过选择的连接
drop(丟弃)任何接收的网络数据包都被丟弃,没有任何回复,仅能有发送出去的网络连接
external(外部)特别是为路由器启用了伪装功能的外部网,您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接
home(家庭)用于家庭网络,您可以基本信任网络内的其他计算机不会危害您的计算机,仅仅接收经过选择的连接
internal(内部)用于内部网络,您可以基本上信任网络内的其他计算机不会威胁您的计算机,仅仅接受经过选择的连接
public(公共)在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接
trusted(信任)可接受所有的网络连接
work(工作)用于工作区,您可以基本相信网络内的其他电脑不会危害您的电脑,仅仅接收经过选择的连接
2)配置规则的位置

运行时(runtime)

永久(permanent)

3、查看防火墙规则列表

1)命令

firewall-cmd --list-all #显示当前区域的网卡配置参数、资源、端口以及服务等信息

firewall-cmd --list-all-zones #显示所有区域的网卡配置参数、资源、端口以及服务等信息

firewall-cmd --list-all [–zone=区域名] #显示指定区域的网卡配置参数、资源、端口以及服务等信息

firewall-cmd --get-zones #查询默认的区域名称

firewall-cmd --get-services #显示预先定义的服务

firewall-cmd --get-default-zone #查询默认的区域名称

2)实例
[root@wangwu ~]# firewall-cmd --list-all

public (active)

  target: default

  icmp-block-inversion: no

... ... ...

[root@wangwu ~]# firewall-cmd --list-all-zones

block

  target: %%REJECT%%

  icmp-block-inversion: no

... ... ...

dmz

  target: default

  icmp-block-inversion: no

... ... ...

drop

  target: DROP

  icmp-block-inversion: no

... ... ...

external

  target: default

  icmp-block-inversion: no

... ... ...

home

  target: default

  icmp-block-inversion: no

... ... ...

internal

  target: default

  icmp-block-inversion: no

... ... ...

public (active)

  target: default

  icmp-block-inversion: no

... ... ...

trusted

  target: ACCEPT

  icmp-block-inversion: no

... ... ...

work

  target: default



![img](https://img-blog.csdnimg.cn/img_convert/453f0b03f00b479716e772c1685825d1.png)
![img](https://img-blog.csdnimg.cn/img_convert/757a7c408a533d97058c2b1fc45b4115.png)

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友,可以添加戳这里获取](https://bbs.csdn.net/topics/618668825)**


**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

 target: default



[外链图片转存中...(img-eXninCmg-1715766983076)]
[外链图片转存中...(img-gCMAN4yw-1715766983077)]

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友,可以添加戳这里获取](https://bbs.csdn.net/topics/618668825)**


**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84976110
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux基础 - 系统安全SELinuxFirewalld)_selinux firewalld
2401_84297796的博客
05-17 455
SELinux全称“Security-Enhanced Linux”,是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。
最全Linux基础 - 系统安全SELinuxFirewalld)_selinux firewalld,2024年最新C C++入门基础
2401_84976733的博客
05-16 997
SELinux全称“Security-Enhanced Linux”,是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。
Linux基础 - 系统安全SELinuxFirewalld)_selinux firewalld(1)
2401_84297618的博客
05-17 396
SELinux全称“Security-Enhanced Linux”,是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。
Linux基础 - 系统安全SELinuxFirewalld)_selinux firewalld(4)
2401_84975828的博客
05-16 284
RHEL 7系统中集成了多款防火墙管理工具,其中firewalld全称“Dynamic Firewall Manager of Linux systems”,是Linux系统的动态防火墙管理器,服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。系统服务:firewalld管理工具:firewall-cmd、firewall-config。
mariadb-10.2.31-linux-x86_64.tar.gz
06-17
2. **配置前准备**:确保系统满足最低硬件需求,关闭SELinux(如果启用)和firewalld防火墙。 3. **创建数据目录**:`mkdir -p /var/lib/mariadb`,并赋予适当权限。 4. **配置**:编辑`my.cnf`文件,设置必要的...
Linux基础课件-iptables安装与启动.pptx
11-02
本文主要讲解了Linux操作系统中的iptables安装、启动、停止以及配置保存的相关知识。iptables是一款在Linux系统中用于实现包过滤和网络地址转换的工具,...掌握这些基本操作,将有助于管理和维护Linux系统的网络安全。
CentOS-7-x86_64-Minimal-1708.zip
07-31
7. ** SELinux**:安全增强型Linux在CentOS 7中继续得到支持,提供了强制访问控制,增强了系统的安全性。 8. **网络服务**:包括SSH (Secure Shell) 服务,允许远程登录和命令执行;DHCP客户端和服务,用于动态分配...
centos-installation--configuration.zip_操作系统开发_PDF_
08-11
在操作系统开发领域,CentOS 是一款深受开发者喜爱的开源Linux发行版。它基于Red Hat Enterprise Linux (RHEL) 的源代码,提供了稳定且安全的服务器运行环境。本指南针对“centos-installation--configuration.zip”...
Linux操作系统基础与应用-PPT课件.rar
07-11
13. 安全性:Linux提供了防火墙(iptables或firewalld)、SELinux等机制来增强系统安全。理解这些安全措施并正确配置是确保系统安全基础。 14. 开发环境:Linux也是开发人员的常用平台,支持多种编程语言,如...
Linux多线程编程-生产者与消费者模型详解与实现(C语言
qq_42037383的博客
07-14 449
生产者-消费者模型是并发编程中的经典问题,描述了多个线程(或进程)如何安全、有效地共享有限的缓冲区资源。:负责生成数据或者将数据放置到共享缓冲区中。:负责从共享缓冲区中取出数据并进行处理或消费。
C语言获取当前时间
w11111xxxl的博客
07-07 786
/ 一秒有1000毫秒。
Linux C | 管道open打开方式
I_feige的博客
07-12 356
1.
c++ primer plus 第16章string 类和标准模板库,string 类输入
zhyjhacker的博客
07-14 1074
c++ primer plus 第16章string 类和标准模板库,string 类输入。
c++ 生成随机字符串
m0_56306892的博客
07-15 207
以下是一个示例代码,它使用std::random_device和std::mt19937生成随机字符,并将结果存储在一个字符串中。std::uniform_int_distribution<> distribution(0, max_index - 1) 创建一个均匀分布,以确保生成的随机数在字符集的索引范围内。输出随机字符串: 在主函数中调用generateRandomString生成一个长度为1024的随机字符串,并输出结果。std::random_device rd 用于生成一个随机种子。
C语言 2个日期相关的函数
waterHBO的博客
07-15 141
读代码的过程中,遇到2个日期相关的工具函数, 记录一下。比较日期,计算日期间隔(天数)
05day--C++日期类的实现与取地址运算符的重载
weixin_73863912的博客
07-13 468
• const实际修饰该成员函数隐含的this指针,表明在该成员函数中不能对类的任何成员进⾏修改。const 修饰Date类的Print成员函数,Print隐含的this指针由 Date* const this 变为 const Date* const this。• 将const修饰的成员函数称之为const成员函数,const修饰成员函数放到成员函数参数列表的后⾯。取地址运算符重载分为普通取地址运算符重载和const取地址运算符重载,⼀般这两个函数编译器⾃动。⽣成的就可以够我们⽤了,不需要去显⽰实现。
C++客户端Qt开发——QT初识
m0_63596031的博客
07-13 836
②中的代码创建,是在堆上new出来的一块空间,当把对象改成在栈上创建,此时就可以看到运行起来的程序无法显示出helloworld,此时label对象随着构造函数的结束,就销毁了,所以应该把它交给对象树进行管理。在QT Designer中创建一个控件的时候,此时会给这个控件分配一个objectName属性,这个属性的值,要求是在界面中是唯一的,不能和别人重复。Qt的对象树模型是一种递归的结构,其中一个对象可以拥有多个子对象,而每个子对象又可以拥有自己的子对象,以此类推。坐标体系:以左上角为原点(0,0),
JNI: 在Kotlin和C++之间通过JNI进行接口传递,两边参数定义映射
最新发布
tyfwin的博客
07-15 999
在Kotlin和C++之间通过JNI进行接口传递时,需要注意两边参数定义的映射关系。JNI(Java Native Interface)为Java(Kotlin也适用)与本地语言(如C/C++)之间的交互提供了桥梁。在Kotlin中定义的外部函数和C++中的实现需要通过JNI签名相互对应。
Linux安全管理:FirewalldSELinux详解
第十三章深入探讨Linux系统安全管理,重点聚焦于Firewalld防火墙管理和SELinux安全策略。Firewalld是RHEL8及其后续版本中的核心防火墙服务,它作为host-level防火墙,与传统的iptables和ip6tables形成互补,提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值