2 Linux中内核级加强防火墙的管理

最新推荐文章于 2022-11-23 09:09:38 发布
最新推荐文章于 2022-11-23 09:09:38 发布
阅读量138 收藏
点赞数
分类专栏: 3 Linux系统工程师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shannon_555/article/details/119648113
版权

#实验环境配置#

客户端下载vsftpd.x86_64  lftp.x86_64
systemctl enable --now vsftpd            #开启ftp服务
服务端增加火墙配置
firewall-cmd --permanent --add-service=ftp    #火墙中允许ftp服务
firewall-cmd --reload                #重启火墙
firewall-cmd --list-all                #列出火墙服务列表
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens3
  sources:
 'services: cockpit dhcpv6-client 'ftp' ssh'
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
在vsftp的配置文件中更改配置
/etc/vsftpd/vsftpd.conf                #anonymous_enable=YES|NO

########## 一.Selinux的功能 ###############

1.观察现象

当Selinux未开启时

在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ  | grep vsftpd 时显示:
-    root  8546  0.0  0.0  26952   408 ?  Ss 10:35  0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ  | grep vsftpd 时显示:
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0  0.0 26952   412 ?        Ss   10:50   0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux:

对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

######### 二.Selinux的状态及管理 ##########

1.selinux的开启

vim /etc/selinux/config
7 SELINUX=disabled    #selinux关闭
7 SELINUX=enforcing    #selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive    #selinux开机设定为警告状态此状态为selinux开启
"selinux开启或关闭需要重启系统"

enforcing:
不符合条件一定不能被允许,并会收到警告信息

permissive:
不符合条件被允许,并会收到警告信息


selinux状态的查看:
getenforce

selinux开启后强制和警告级别的转换
setenforce 0    ##警告
setenforce 1    ##强制

selinux日志位置:
/var/log/audit/audit.log

 ######### 三.Selinux的安全上下文 ##########

1.查看

ls -Z        ##查看文件的安全上下文
ls -Zd        ##查看目录的安全上下文
ps axZ        ##查看进程的安全上下文

2.修改安全上下文

#临时修改
#此方式更改的安全上下文在selinux重启后会还原
chcon -t     标签            文件|目录    
chcon -t     public_content_t     /var/ftp/westosfile1
chcon -Rt     public_content_t    /westosdir    #修改目录及目录中的所有子文件的安全上下文

#永久修改安全上下文
#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l         ##查看内核安全上下文列表
semanage fcontext -a -t public_content_t  '/westosdir(/.*)?'
restorecon -RvvF /westosdir/
touch  /.autorelabel        ##重启系统时selinux初始化文件标签开关文件

######### 五.SEPORT #######################

semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp  1111

 ########## 六.setrouble ###################

#/var/log/audit/audit.log	##selinux警告信息
#/var/log/messages		##selinux问题解决方案
#setroubleshoot-server		##此软件功能是采集警告信息并分析得到解决方案存放到message中

semanage port -d -t ssh_port_t -p tcp  1111
> /var/log/audit/audit.log
>/var/log/messages

systemctl restart sshd
systemctl stop sshd

Linux小菜鸟~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux----内核防火墙SELinux简介
李笑男的博客
02-11 1007
什么是SELinux: 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 二、selinux的模式 vim /etc/selinux/config ...
Linux内核防火墙Netfilter实现与应用研究
05-13
介绍了Linux内核防火墙的发展,对2.4.x内核的Netfilter框架的流程和IPv4协议栈Netfilter的实现进行了分析,通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法,对Netfilter框架下的防火墙功能扩展进行了展望
Linux学习笔记(二十一)linux内核加强型火强的管理
鱼子酱
05-17 98
linux内核加强型火强的管理一.Selinux的功能#当selinux未开启时当selinux开启:二.Selinux的状态及管理三.Selinux的安全上下文四.SEBOOL5.SEPORT六.setrouble 一.Selinux的功能# 当selinux未开启时 在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" 当selinux开启: 在/mnt建立文件被移动到/var/ftp
linux内核防火墙(SELINUX
dlin33的博客
11-05 248
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强防火墙,有力的提升了系统的安全性。 SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能 在linux系统使用 getenforce 命令可以查看selinux的状态:   disabled 为关闭状态,对服务和功能都没有限制   enforcing 为强制状态,对服务和功能都...
Linux内核防火墙Selinux
Wielun
02-03 325
selinux的状态查看和修改 getenforce ###查看状态 setenforce 0|1 ###0:permissive警告模式 1:enforcing强制模式 vim /etc/sysconfig/selinux SE...
Linux系统内核安全审计方法研究.pdf
09-07
本文主要探讨了Linux系统内核安全审计的方法,特别关注了Loadable Kernel Modules (LKMs)技术在安全审计的应用。 LKMs是Linux系统为了扩展功能而引入的一种机制,允许用户在运行时动态加载或卸载内核模块,以...
linux内核自动提权脚本.zip
02-01
Linux内核自动提权脚本是一种工具,用于在Linux系统获取更高的权限,通常是通过利用已知的安全漏洞或不安全的配置。这个压缩包文件"linux内核自动提权脚本.zip"包含了针对多种Linux内核版本的提权代码,能够自动化...
校园网Linux系统安全与管理.pdf
09-06
【标题】: "校园网Linux系统安全与管理" 【描述】: 本文主要探讨了在校园网络环境,如何管理和确保Linux操作系统的安全性。作者针对Linux系统的特性,介绍了一些安全设定方法和日常防护措施,旨在为提高Linux...
Linux在医院数据库安全管理的应用.pdf
09-06
管理安全方面,Linux提供了丰富的安全管理工具,如防火墙(iptables)、访问控制列表(ACLs)和安全增强Linux(SELinux),这些工具可以帮助管理员设置精细的访问规则,确保只有授权的用户和服务能访问特定资源。...
Linux内核漏洞浅析
03-04
Linux内核漏洞浅析 Linux操作系统因其开源、稳定、安全的特性,在全球范围内获得了广泛的应用。从个人电脑到服务器,再到嵌入式设备,Linux的身影无处不在。然而,随着其普及度的提高,安全问题也随之浮出水面。...
Linux入门之内核防火墙的设定(selinux
qq_43830639的博客
05-09 389
SELinux内核加强防火墙,是基于内核开发出来的一种安全机制,它有力的保障了系统的安全。它的作用主要有两方面,一方面是在服务上添加安全上下文(标签),安全上下文匹配才能通过,不匹配,则会被过滤;另一方面,则是在功能上进行限制,也就是功能开关处于关闭状态,如果要使用某些功能,就需要打开功能开关。 lftp服务的使用可以参考ftp服务部署文章,这里不过多解释ftp服务的搭建。 一、sel...
Linux环境下配置ftp服务器
mldl_的博客
06-29 4407
背景要求: 某局域网需要配置一台FTP服务器,为局域网的计算机提供文件传送任务,要求能够对FTP服务器设置用户限制、上传和下载限制、客户端身份验证等。 1、安装 vsftpd 和 ftp 包 yum -y install vsftpd yum -y install ftp 2、防火墙和SElinux设置 //防火墙设置: firewall-cmd --add-service=ftp firewall-cmd --runtime-to-permanent firewall-cmd --list-all.
Linux基础——FTP服务
weixin_41927237的博客
05-10 187
####ftp服务####一、启动服务第一步:服务端:真机连接server虚拟机:vim /etc/sysconfig/selinux                    ##编辑配置文件  7 SELINUX=disabled                         ##第七行参数改为disabledreboot                                     ...
Linux操作系统:Firewalld防火墙
qq_56414082的博客
11-23 6446
当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。--service= --remove-source-port=[-]/--service= --query-source-port=[-]/--service= --add-source-port=[-]/
防火墙firewall-cmd命令
Linux
11-25 1万+
参考链接: https://wangchujiang.com/linux-command/c/firewall-cmd.html 查看防火墙状态:firewall-cmd --state: [root@localhost ~]# firewall-cmd --state running [root@localhost ~]# 查看防火墙firewall-cmd --list-all [root@localhost ~]# firewall-cmd --list-all public (active
CentOS7 防火墙设置命令
一个老宅男
04-04 1392
1、安装防火墙 yum install firewalld systemd -y 2、开启防火墙 service firewalld start// 或者systemctl start firewalld 3、添加 HTTP 服务到 firewalld 注:pemmanent 表示永久生效,若不加 --permanent 系统下次启动后就会失效 sudo firewall-cm...
防火墙firewall
s990420的博客
07-04 450
linux firewall防火墙设置
Linux firewall-cmd 命令详解
热门推荐
三生万物
09-26 6万+
宽为限 紧用功 功夫到 滞塞通 firewall-cmd Linux上新用的防火墙软件,跟iptables差不多的工具。补充说明firewall-cmdfirewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld跟iptables比起来至少有两大好处:firewalld
Apache 的管理及优化 web
weixin_54720351的博客
03-02 454
Apache 的管理及优化 webdnf install php -y systemctl restart httpd firefox http://192.168.0.11/index.phpprint "Content-type: text/html\n\n"; print 'date'[root@localhost conf.d]# mkdir -p /etc/httpd/webkey/ #建立 key 目录 [root@localhost conf.d]# openssl genrsa -o
LinuxIptables使用资料(整理).docx
最新发布
12-16
Iptables是内置于现代Linux内核的一个模块,它作为netfilter的一部分,提供了功能强大的包过滤和网络访问控制能力。相较于传统的商业防火墙,iptables是开源且免费的,能够实现数据包的过滤、重定向和网络地址转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值