系统安全程序优化

我们为什么需要优化防火墙服务呢？

防火墙概念介绍：

防火墙作为本地计算机的一道防御，抵御着病毒、蠕虫、木马和强力的黑客攻击。

它既能以软件（安全程序）的形式出现，也可以采用硬件（物理路由）的形式。

但两种形式下都能发挥同样的功能：扫描传入的网络流量，确保其中未包含列入黑名单的数据。

防火墙优化目的：

在部分服务部署应用初期，防火墙的一些安全配置，会影响到服务的使用：

①会造成服务不能进行网络数据的传输

②会造成服务不能和其他主机建立连接

因此很多服务器中会要求将系统防火墙服务程序进行关闭。

系统默认防火墙服务优化说明

systemctl stop firewalld.service      --临时关闭防火墙

​systemctl disable firewalld.service  --永久关闭防火墙
​
systemctl status firewalld  --操作配置查看确认

查看防火墙服务是否关闭

systemctl is-active firewalld.service      --显示unknown

systemctl is-enabled firewalld.service  --显示disabled

为什么要关闭selinux呢？

selinux概念介绍：

安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

设想一下，如果一个以 root 身份运行的网络服务存在 0day 漏洞，黑客就可以利用这个漏洞，以 root 的身份在你的服务器上为所欲为了。是不是很可怕？

SELinux 就是来解决这个问题的。（在某种情况下可以有效限制root用户的能力）

selinux优化目的：

在部分服务部署应用测试阶段，selinux的一些默认安全配置，会影响到服务的前期测试运行：

①会造成服务进程不能加载数据资源

②会造成服务程序不能正常稳定运行

因此很多服务器中会要求将系统selinux安全功能进行关闭。

系统默认selinux安全策略优化说明

setenforce 0         --临时关闭防火墙
getenforce            --查看防火墙状态，Permissive（许可）就是关闭状态，Enforcing就是开启状态

# 永久关闭防火墙
vim /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
       -- 表示selinux安全策略功能是启用状态
#     permissive - SELinux prints warnings instead of enforcing.
       -- 表示selinux安全策略只是显示警告信息，不会进行安全处理
#     disabled - No SELinux policy is loaded.
       -- 表示selinux安全策略功能彻底禁用

SELINUX=disabled  --把SELINUX改成disabled即可
reboot                       --重启系统

搭建一个web网站环境：
步骤一：下载安装web服务程序

首先需要配置一个nginx.repo文件，为了能定位到相关仓库

vim /etc/yum.repos.d/nginx.repo

把下面这一段内容粘贴进去

[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/
gpgcheck=1
enabled=0
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true

安装nginx

# yum install -y nginx

注：以上操作均在这个网站上nginx news——侧找到download进去后——找到Pre-Built Packages点进去下面的链接——找到你的系统（博主的是Centos所以用  RHEL and derivatives）——详细操作就在里面了。
   
   步骤二：在web程序站点目录中要放置web页面信息

cat /etc/nginx/conf.d/default.conf  --查看Nginx的配置文件

找到Nginx 默认的网站根目录（具体而言，/usr/share/nginx/html 是用来存放网站静态文件（例如 HTML、CSS、JavaScript、图像等）的目录。当用户通过浏览器访问 Nginx 服务器时，Nginx 会将 /usr/share/nginx/html 目录中的文件提供给用户）

/usr/share/nginx/html

cd /usr/share/nginx/html  --进入该目录

rz -y                                 --选择你要上传的内容                         

步骤三：运行启动web服务程序

systemctl start nginx 

systemctl status nginx  --查看nginx是否运行，显示active就已经在运行了

步骤四：物理主机访问虚拟机

ip a  --查看虚拟机的ip地址

复制好地址后直接在浏览器上面访问即可（只有以上优化全部完成才能成功访问）