关闭selinux
执行完 ls -l 的权限之后,发现在9为权限的后面,还有个点。这个点的意思是受控于SELlinux,关闭SELinux之后,创建的文件就不会出现这个点。
1.查看 SElinux 的状态
[root@localhost ~]# getenforce
Enforcing //开启状态
2.修改为宽松状态。立即生效,重启失效。
修改为宽松状态,setenforce 0。宽松状态也是开启状态,也会有那个点。
改回开启状态 setenforce 1。
[root@localhost ~]# setenforce 0
[root@localhost ~]# getenforce
Permissive
3.关闭selinux,重启生效。
vim /etc/selinux/config
把 SELINUX=enforcing 改为 SELINUX=disabled
[root@localhost ~]# init 6
[root@localhost ~]# getenforce
Disabled
Linux防火墙-netfilter
netfilter的5个表
filter表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链
managle表用于给数据包做标记,几乎用不到
raw表可以实现不追踪某些数据包,阿铭从来不用
filter表应用
不指定iptables表的类型,默认使用filter表,用来做访问控制的防火墙。
例如:
只允许192.168.1.0/24这个网段来访问22端口,开发 80 和 21 端口。
# vim iptables.sh
#! /bin/bash
ips="/usr/sbin/iptables" #定义变量
$ips -F #清空规则
$ips -P INPUT DROP #修改默认策略
$ips -P OUTPUT ACCEPT
$ips -P FORWARD ACCEPT
$ips -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #额外的连接,和保持连接的请求允许连接
$ips -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT #这个网段的22端口允许连接
$ips -A INPUT -p tcp --dport 80 -j ACCEPT #开放 80 和 22 端口
$ips -A INPUT -p tcp --dport 21 -j ACCEPT
例2:
如果不接受ping的请求,别的机器就会ping不通的需求如何实现。
# iptables -I INPUT -p icmp --icmp-type 8 -j DROP
icmp 就是 ping 的类型。禁止之后就会ping不通。