南林暑期实训 Linux day6 服务控制、管理网络安全（管理服务器防火墙）

服务控制、管理网络安全

一、服务控制

1.1 控制服务：管理单元

目前大多数linux系统使用的systemd程序对服务进行管理，所以，systemd也是linux启动时第一个被启动的进程，由systemd来管理启动其他程序。 管理单元： systemd通过对不通单元的管理，实现对系统服务和进程的管理 service单元：文件名后缀为.service，表示服务或守护进程，常用于web服务器，数据库程序。（通常为系统级别的服务，时systemd默认管理的对象） socket单元 ：文件名后缀为.socket，表示进程通信套接字 target单元 ：文件名后缀为.target，表示一些service组合，或者表示描述系统状态。 systemctl –t help 显示可用单元类型

1.2 使用命令：systemctl systemctl status 服务名 查看状态 systemctl 　start　　服务名　（启动服务） systemctl enable 服务名 （设置服务的开机自启） systemctl restart 服务名 （重启服务） systemctl stop 服务名 （停止服务） systemctl disable 服务名 （取消服务的开机自启） systemctl reload 服务名 （重新加载配置文件） systemctl is-active 服务名 （确定服务当前是否为活动状态）

1.3 以httpd服务为例

1.3.1 服务的单元信息

loaded 服务单元是否已经加载到内存中 active 服务单元是否正在运行 main pid 服务主进程id 包括命令名称 status 有关该服务其他信息

例：安装httpd软件，并启动和设置该服务开机自启，然后打开浏览器输入localhost：80

查看httpd服务状态

开启开机自启

 打开服务器，输入 localhost ：80

停止该服务

 

 取消开机自启

1.4 实验题—更改百度热搜标题

1.4.1. 空白处右键

找到 view page source (源代码) 复制

1.4.2 cd/var/www/html

ls

vim index.html

粘贴

底端输入（esc ：）%s/举报拍黄瓜父子买人民币花束后投诉/暑假放假通知 /g 回车

（esc ：）wq

1.4.3 打开百度：输入localhost,更改成功（192.168.32.3:80/index.html）

二、管理服务器防火墙

2.1 防火墙作用：对主机外部流量进行拦截（限制是否开放想要访问主机内部指定的端口，从而限制流量访问） 访问网络，通过测试IP网段之间连通性，IP地址对应的是主机，但主机访问应用使用流量不同，不同应用的流量是通过端口进行划分的。

补充： 端口范围：1-65536 1-1024是固定给到某些服务使用 1024之后的端口是随机使用 比如：ssh ---22 http----80

OSI

应用层

表示层

会话层

传输层

网络层

数据链路层

物理层

TCP 端到端的可靠传输

pc ---------- server

UDP 无连接的不可靠传输

pc （发出去）---------- server（尽可能接收）（流量包未收到（丢失），卡顿，音频不同步）

2.2 防火墙命令使用

systemctl stop firewalld.service （关闭防火墙服务） systemctl start firewalld.service （启动防火墙） firewall-cmd --list-all 查看防火墙中信息 firewall-cmd –reload （重新加载）

2.3 放行指定端口和服务

使用man手册 man firewall-cmd 找例子(man semanage-fcontext )

--add-service /--add-port/协议 添加服务或端口 --permanent 强制添加 --remove-port / --remove-service 删除端口或服务 注：不论放行服务 端口还是删除，都需执行firewall-cmd –reload重新加载

例：将防火墙开启并放行http服务和80端口。做完检查

①添加http服务

②添加http服务

2.4selinux

selinux类似 电脑里自带的电脑管家，或者说手机里的手机管家 在linux环境中具有重要的安全用途，可以通过设置允许或者拒绝访问文件及其他资源，并且精确度比用户权限要大。

作用：通过对软件进程限制某些权限，从而保证系统的安全。但是不能完全代替防火墙及杀毒软件，本质上在软件基础上，加强对软件的限制。 selinux对于软件访问文件内容的限制 selinux设置软件对于端口的访问限制

2.4.1 selinux三种模式

查看当前selinux的模式： getenforce 2.4.1.1 三种模式： １.强制模式 enforcing 在该模式下，软件进程必须遵守selinux制定的规则，如果行为不符，那么会被禁止并记录下来

1. 允许模式 permissive 在该模式下，软件可以不遵守seliunx制定的规则，如果有违反规则的行为，不会被禁止，但会被记录。

   1. 禁用模式 disabled关闭状态 在该模式下，软件可以不遵守selinux制定的规则，违反行为也不会被记录，不会被禁止

2.4.1.2 修改selinux模式

两种修改方式： 临时修改 setenforce 模式 （setenforce 0 setenforce 1） （1代表enforcing 0代表permissive） 永久修改（凡是看到永久生效，大概率是要修改某一个配置文件，然后让系统在启动的过程中加载该文件中的配置信息并生效） vim /etc/selinux/config

注：一般情况下，若要修改为永久生效，临时生效也要做修改

永久生效：

输入：① vim /etc/seliux/config

②再讲临时模式改为 setenforce 1,再重启

③重启后查看

2.4.2 selinux权限设置：文件限制

selinux对文件内容访问限制 通过比较文件上下文类型是否和设置的默认上下文一致，如果一致可以在浏览器界面访问，不一致则不能访问。

查看文件类型： ls –Z

unconfined_u selinux用户

object_r 角色

sys_content_t selinux上下文类型 （重点）

s0 等级

1.html 文件名

selinux根据上下文类型指定规则，类型文件通常以_t结尾

web服务器的类型文件时httpd_t，通常位于/var/www/html中的文件和目录的类型 上下文时httpd_sys_content_t

查看默认上下文（默认上下文先要检查是否正确，然后比较文件本身的上下文是否和默认一致） semanage fcontext –l 查看已设定的默认上下文

筛选/var/www/html 下的文件类型 ：（ 管道符 | ）

 查看http类型

例1： 创建1.html ，输入：helloworld！ ，打开Firefox ，输入192.168.32.3:80/文件名，可以查看文件内容

命令组成：

-a 代表添加

-t 指明修改文件上下文类型

-m 修改上下文

-d 删除

如果修改的路径时目录需要加上（*/）？ 代表设定该目录下所有文件默认上下文

例2：添加 admin_home_t 文件类型，修改1.html 文件类型为这个，打开Firefox，查看，然后会http_sys_content_t 类型，再次查看。

打开Firefox时，会出如下： （文件类型和默认不一样）说明修改成功

再次修改类型，后查看