学习Linux的第九天(安全机制更深入的学习)

已于 2022-10-20 23:48:08 修改
阅读量2.5k 收藏 8
点赞数 8
文章标签: linux 学习 安全
于 2022-10-20 23:48:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly2635/article/details/127437488
版权

Linux安全机制第二部分

在linux系统中,firewalld 服务和iptables服务是冲突的,所以二者只有一个能运行,如果开启了iptables,那么必须永久关闭防火墙,iptables也会有默认的基本配置,保证网络安全。

systemctl  stop firewall 
systemctl  disable firewall

这样才能用iptables
iptables -F 可以删掉所有的规则
iptables-save 保存当前配置

Selinux 安全子系统
SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。RHEL 7系统使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅获取到本应获取的资源。
selinux在linux环境中有非常重要的用途
在我们linux环境中,如果禁用selinux,是可以减少非常多的报错,但是在生产环境中相当不推荐

selinux在linux当中的三个用途:

  1. 可以允许或者拒绝访问我们的文件和资源
  2. 可以明确一个进程,服务,可以调用哪些端口
  3. 可以对一个文件做更精确的限制,远远比我们的用户权限高很多,更精确。

selinux有三个模式:

  1. 强制模式 enforcing selinux会强制执行严格的访问控制,系统默认就是这个模式,他会拒绝其他服务访问违规端口,同时也限制这些服务的访问执行权限,而且但凡发现了违规行为,会记录在日志里面。
  2. 许可模式 permissive 不执行严格的访问控制,但是会记录这些违规的警告,这个模式主要用于测试和故障排除
  3. 关闭模式 disabled selinux功能完全关闭,不拒绝仍和的违规行为,而且不予记录。

三种模式的查看和切换: *只是当前有效 关机重启后会变成原来的模式
getenforce 查看当前模式
setenforce 0 设置为许可模式
setenforce 1 设置为强制模式

关闭模式不能通过简单命令来实现 需要修改配置文件,同时修改配置文件也是永久修改默认模式的方法
selinux的配置文件: /etc/selinux/config

SELINUX = disabled
enforcing
permissive

selinux 三个模式:
targeted: 默认模式,针对网络服务的限制比较多,对本机的限制比较少
minimun:只会选择性的保护我们的系统模块 例如内核 device
mls:完整的selinux限制,对系统各方面都做限制

默认是targeted 模式,因为一般只需要对网络服务做限制

安全上下文:
在启动selinux的时候,selinux会给系统中的资源设置一个安全上下文,保存在 /etc/selinux/targeted/contexts/files/file_contexts

ls -Z 查看安全上下文

[root@rhel8-server /]# ls -Zd    /var/www/html/
system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

在文件上设置的selinux安全上下文,是由用户段,角色段,类型段等多个信息组成
system_u 代表了系统进程的身份
object_r 代表了文件目录的角色
httpd_sys_content_t 代表了网站服务的系统文件
S0 : sensitivity

semanage 管理安全策略

使用getsebool命令查询并过滤出所有与HTTP协议相关的安全策略。其中,off为禁止状态,on为允许状态。

[root@localhost ~]# getsebool -a | grep http
httpd_anon_write --> offhttpd_builtin_scripting --> onhttpd_can_check_spam --> offhttpd_can_connect_ftp --> offhttpd_can_connect_ldap --> offhttpd_can_connect_mythtv --> offhttpd_can_connect_zabbix --> offhttpd_can_network_connect --> offhttpd_can_network_connect_cobbler --> offhttpd_can_network_connect_db --> offhttpd_can_network_memcache --> offhttpd_can_network_relay --> offhttpd_can_sendmail --> offhttpd_dbus_avahi --> offhttpd_dbus_sssd --> offhttpd_dontaudit_search_dirs --> offhttpd_enable_cgi --> onhttpd_enable_ftp_server --> offhttpd_enable_homedirs --> offhttpd_execmem --> offhttpd_graceful_shutdown --> onhttpd_manage_ipa --> offhttpd_mod_auth_ntlm_winbind --> offhttpd_mod_auth_pam --> offhttpd_read_user_content --> offhttpd_run_ipa --> offhttpd_run_preupgrade --> offhttpd_run_stickshift --> offhttpd_serve_cobbler_files --> offhttpd_setrlimit --> offhttpd_ssi_exec --> offhttpd_sys_script_anon_write --> offhttpd_tmp_exec --> offhttpd_tty_comm --> offhttpd_unified --> offhttpd_use_cifs --> offhttpd_use_fusefs --> offhttpd_use_gpg --> offhttpd_use_nfs --> offhttpd_use_openstack --> offhttpd_use_sasl --> offhttpd_verify_dns --> offnamed_tcp_bind_http_port --> offprosody_bind_http_port --> off[root@localhost ~]# setsebool -P httpd_enable_homedirs=on

面对如此多的SeLinux域安全策略规则,实在没有必要逐个理解它们,我们只要能通过名字大致猜测出相关的策略用途就足够了。比如,想要开启httpd服务的个人用户主页功能,那么用到的SELinux域安全策略应该是httpd_enable_homedir

semanage-port 管理安全上下文
-a 增加
-d 删除
-t 指定文件上下文类型

例如:

 修改httpd服务监听端口改成82 (默认是80)
vim /etc/httpd/conf/httpd.conf 
需要修改配置文件为Listen 82端口
systemctl restart httpd
journalctl -xe
semanage port -a -t http_port_t -p tcp 82
systemctl restart httpd

深入理解文件系统 (存储部分)
万物皆文件:

  1. 什么是文件
  2. 什么是目录
    文件: 数据+文件属性(元数据)
    什么是目录: 就是一个表,没有任何文件,完全就不是一个容器 (是文件和inode值得对应关系表)

inode
每个文件都会对应一个inode值
inode值储存了文件的元数据信息
文件类型 文件权限 UID GID 文件连接数 文件大小 文件创建时间 文件的数据块block 在磁盘上的块指针

对人而言 识别的是文件名
对系统而言 认识的是inode
什么是目录 目录就是 文件名 和 inode的对应表

系统到底是如何工作的:
cp : 系统分配一个新的inode值 并且添加到inode表
在新的目录里面 给这个inode关联一个文件名
把数据拷贝到磁盘的新位置

mv : 在新的目录下 创建一条列表记录 关联源文件的inode值和新的文件名
会删除旧的目录下 文件和inode的关联关系
该数据在磁盘上未发生任何改动 所有元属性全都保存

在Linux系统中存在硬链接和软连接两种文件:
硬链接(hard link):
可以将它理解为一个“指向原始文件inode的指针”,系统不为它分配独立的inode和文件。所以,硬链接文件与原始文件其实是同一个文件,只是名字不同。我们每添加一个硬链接,该文件的inode连接数就会增加1;而且只有当该文件的inode连接数为0时,才算彻底将它删除。换言之,由于硬链接实际上是指向原文件inode的指针,因此即便原始文件被删除,依然可以通过硬链接文件来访问。需要注意的是,由于技术的局限性,我们不能跨分区对目录文件进行链接。
软链接(也称为符号链接[symbolic link]):
仅仅包含所链接文件的路径名,因此能链接目录文件,也可以跨越文件系统进行链接。但是,当原始文件被删除后,链接文件也将失效,从这一点上来说与Windows系统中的“快捷方式”具有一样的性质。

硬链接
ln 源文件 目标位置 +新名称
就是把文件的inode值 关联给了一个新的名称 并且加入了目录列表
本质上是同一个文件 相当于多了个入口
硬链接是绝对不能跨越文件系统的

软链接 ln -s 源文件 目标位置+新名称
会产生一个新的文件 用来执行之前那个文件 会产生新的inode值
可以跨越文件系统

rm 链接数-1 如果此时链接数 =0 则直接回收该文件
文件和 inode映射关系会从目录中拿掉 同时磁盘指针会标志该存储区域可用 但是数据并不会擦除 直到下次被其他数据覆盖

如果此时链接数 不等于0 inode依然保留 只会把目录当中的一个链接拿掉 其他的文件元数据保持不变

文件类型:
普通文件 -
目录 d
链接文件 l
设备文件 c 串行端口设备 鼠标 键盘
b 存储数据的设备 硬盘 磁盘 固态

文件系统的使用情况
df 查看已经挂载的文件系统的使用情况
-h 查看文件系统使用情况 单位是M
-i 查看inode使用情况
-T 查看文件系统类型

du 查看目录大小
-s 总大小
-h 显示所有子目录文件

羚小圆
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux-运维进阶-13 iptablesfirewalld防火墙
weixin_42560249的博客
03-26 1360
linux-运维进阶-13 iptablesfirewalld防火墙 iptables iptables是centos6以及之前版本的默认防火墙工具,在centos7中默认防火墙工具已经替换为firewalld。 区别: iptables防火墙的底层是netfiter firewalld防火墙的底层是iptables 注意:iptablesfirewalld冲突的,同时只能使用一个防火墙 在...
Linux防火墙之firewalldiptables
day day up
07-15 2539
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
Linux系统安全:从面临的攻击和风险到安全加固、安全维护策略(文末有福利)
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-23 2238
Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。PAM是Linux上的可插拨认证模块机制,通过提供一些动态链接库和一套统一的api,将系统提供的服务和该服务的认证方式分开,使得系统管理呐可以根据需要给不同的服务配置不同的认证方式而无需改服务程序,同时也便于向系统中添加新的认证手段。umask(默认文件权限666,文件夹777) 为用户创建权限掩码,是创建文件或文件夹时默认权限的基础,用户在创建时,文件的默认权限-掩码的权限就是文件的实际权限。
iptablesfirewalld的应用
weixin_58701060的博客
08-01 272
iptables: 搭建web服务,设置任何人能够通过80端口访问。 禁止所有人ssh远程登录该服务器 禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为172.24.8.128 firewalld 禁止某个ip地址进行ssh访问 配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口) 此规则将本机80端口转发到192.168.1.1的8080端口上...
使用iptables与firewall来配置防火墙
qq_45279999的博客
05-03 844
防火墙位于内网与外网之间,相较于内网,外网的安全和环境都十分恶劣,时不时都会受到攻击。所以可以用防火墙来设置策略,阻断影响安全的因素。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动。 iptablesfirewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已;或者说,它们只是一种服务。早期
firewalldiptables
记事本
12-07 934
firewalldiptables
Linux中的火墙iptablesfirewalld
qq_46089299的博客
03-24 298
一、火墙介绍 定义:所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。 功能:防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来...
深入理解linux内核(中文第三版)高清完整PDF
06-30
深入理解Linux内核》是Linux领域的经典之作,它的第三版中文版为读者提供了全面而深入Linux内核解析。这本书对于那些想要了解操作系统底层工作原理、尤其是对Linux内核感兴趣的开发者、系统管理员以及计算机科学...
linux内核设计与实现第二版 学习笔记
02-02
在《Linux内核设计与实现》第二版的学习笔记中,我们可以深入探讨以下几个关键知识点: 1. **内核架构**:Linux内核采用微内核架构,主要由进程管理、内存管理、文件系统、设备驱动和网络协议栈等模块组成。这些...
深入分析Linux内核源代码》
06-13
深入分析Linux内核源代码》 第一章 走进Linux ...第九章 Ext2 文件系统 第十章 模块机制 第十一章 设备驱动程序 第十二章 网络 第十三章 Linux 启动系统 参考文献 附录 A Linux 内核 API 附录B在线文档
linux学习linux私房菜第三版
09-04
9. **系统安全**:介绍防火墙设置,权限控制, SELinux 和 AppArmor等安全机制,以及如何保护系统免受攻击。 10. **Shell编程**:教授Bash shell脚本编写技巧,包括变量、条件判断、循环、函数等。 11. **Linux...
关于ufw、firewalldiptables之间的关系整理
RicardoOzZ的博客
11-24 1万+
看到有篇相关文章介绍如下,指出三者是在不同的linux系统版本中的防火墙,但这种说法并不完全,会让人误解为他们是互不影响的独立关系。 UFW、firewall、iptables防火墙配置 常见的linux系统防火墙有:UFW、firewall、iptables,其中,UFW是Debian系列的默认防火墙,firewall 是红帽系列7及以上的防火墙(如CentOS7.x),iptables是红帽系列6及以下(如CentOS6.x)的防火墙。 事实上,他们很可能同时安装在同一个系统上,并且相互作用影响!
linuxiptablesfirewalld防火墙
lm19770429的专栏
04-28 307
在公网与企业内网 之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对 穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应 用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策 略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在 企业内网和外部公网之间流动了。 在 RHEL 7 系统中,fi...
centos7.9修改/etc/selinux/config文件异常,导致无法开机 Failed to load SELinux policy
博客
11-02 763
配置关闭SELinux,结果误操作,应修改配置文件/etc/selinux/config中的“SELINUX”参数的值,SELINUX=enforcing 原始配置SELINUX=disabled 正确。找到 linux16 那一行,在language 后面 也就是LANG=zh_CN.UTF-8,空格 加上 selinux=0 或者 enforcing=0。重启时在启动页面,选择你要启动的内核 按 E, 进入 grub 编辑页面。然后 ctrl + x 启动,就看到熟悉的登录界面。
Linux 防火墙配置(iptablesfirewalld
热门推荐
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
Linuxiptables&firewalld学习与使用记录
冰之杍的博客
07-24 548
Linuxiptables&firewalld学习与使用记录[总体比较][Iptables]iptable工作数据流向图规则链规则表iptables的语法格式iptables使用及命令示例[Firewalld]firewalld的基本使用配置firewalld-cmdfirewalld的命令示例 [总体比较] 相同点: firewalldiptables 都是 linux 中防火墙的管理程序,他们的作用都是用于维护规则,而真正的防火墙执行者是位于内核中的netfilter,只不过fire
防火墙
践踏记忆的博客
10-07 772
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3542
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
防火墙iptables+firewalld
wlfsa的博客
10-26 32
防火墙。
Linux操作系统课程指导:Ch9-10 Kernel Synchronization.ppt
06-18
Linux操作系统课程的第九章和第十章,主要讨论了内核同步(Kernel Synchronization)的概念及其在多线程和并发环境中的重要性。这些章节深入探讨了以下几个关键知识点: 1. **共享内存应用程序中的同步需求**:在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值