linux安全机制命令,SELinux安全机制 自定义用户环境 firewalld基础配置

最新推荐文章于 2024-04-09 14:00:00 发布
最新推荐文章于 2024-04-09 14:00:00 发布
阅读量379 收藏
点赞数
文章标签: linux安全机制命令

Top

NSD ENGINEER DAY03

1 案例1:启用SELinux保护

1.1 问题

本例要求为虚拟机 server0、desktop0 配置SELinux:

确保 SELinux 处于强制启用模式

在每次重新开机后,此设置必须仍然有效

1.2 方案

SELinux,Security-Enhanced Linux:是由美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制,针对用户、进程、文档标记安全属性并实现保护性限制。

SELinux安全体系直接集成在Linux内核中,包括三种运行模式:

disabled:彻底禁用,内核在启动时不加载SELinux安全体系

enforcing:强制启用,内核加载SELinux安全体系,并强制执行保护策略

permissive:宽松模式,内核加载SELinux安全体系,只记录不执行

执行getenforce可以查看当前所处的模式。

在disabled模式与enforcing、permissive模式之间切换时,需要重新启动Linux系统;而在enforcing模式与permissive模式之间切换时,并不需要重启,可以直接执行setenforce 1|0操作。

1.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:调整当前的SELinux运行模式

1)查看当前模式

[root@server0 ~]# getenforce

Permissive                                     //表示当前为宽松模式

若上述操作显示的结果为Disabled,表示SELinux机制已被禁用,只能通过步骤修改固定配置后再重启;若显示的结果为Enforcing,表示已经处于强制启用模式。

2)切换为enforcing强制启用模式

如果在操作1)中显示的结果为Permissive,则执行以下操作切换为强制启用:

[root@server0 ~]# setenforce 1                 //强制启用

[root@server0 ~]# getenforce                     //确认切换结果

Enforcing

如果在操作1)中显示的结果为Disabled,则无法使用setenforcing命令:

[root@desktop0 ~]# getenforce

Disabled

[root@desktop0 ~]# setenforce 1

setenforce: SELinux is disabled

步骤二:为SELinux运行模式建立固定配置

1)修改配置文件/etc/selinux/config

[root@server0 ~]# vim /etc/selinux/config

SELINUX=enforcing

.. ..

2)重启验证结果

[root@server0 ~]# reboot

.. ..

[root@server0 ~]# getenforce

Enforcing

2 案例2:自定义用户环境

2.1 问题

本例要求为系统 server0 和 desktop0 创建自定义命令,相关说明如下:

自定义命令的名称为 qstat

此自定义命令将执行以下操作:/bin/ps -Ao pid,tt,user,fname,rsz

此自定义命令对系统中的所有用户都有效

2.2 方案

命令别名:为一个复杂的命令行建立一个更加简短的命令字,方便重复使用。

基本管理操作:

定义别名:alias 别名='复杂的命令行'

查看别名:alias、alias 别名

取消别名:unalias 别名、unalias -a

用户登录初始化文件:

全局配置:/etc/bashrc、

用户自定义配置:~/.bashrc

2.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:为主机server0添加别名qstat

1)为所有用户添加初始化命令

[root@server0 ~]# vim /etc/bashrc

.. ..

alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz'

2)验证别名qstat是否生效

[root@server0 ~]# exit                                     //退出

logout

Connection to server0 closed.

[kiosk@foundation0 ~]$ ssh -X root@server0                 //重登录

Last login: Sat Nov 26 15:30:15 2016 from 172.25.0.250

[root@server0 ~]# alias qstat                             //可查到别名

alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz'

[root@server0 ~]# qstat                                     //且此别名正常可用

PID TT USER COMMAND RSZ

1 ? root systemd 6548

2 ? root kthreadd 0

3 ? root ksoftirq 0

步骤二:为主机desktop0添加别名qstat

操作与步骤一相同。

3 案例3:配置firewalld防火墙

3.1 问题

本例要求为两个虚拟机 server0、desktop0配置防火墙策略:

允许从172.25.0.0/24网段的客户机访问 server0、desktop0 的任何服务

禁止从my133t.org域(172.34.0.0/24网段)的客户机访问 server0、desktop0 的任何服务

在172.25.0.0/24网络中的系统,访问 server0 的本地端口5423将被转发到80

上述设置必须永久有效

3.2 方案

RHEL7的防火墙体系根据所在的网络场所区分,提供了预设的安全区域:

public:仅允许访问本机的sshd等少数几个服务

trusted:允许任何访问

block:阻塞任何来访请求

drop:丢弃任何来访的数据包

……

新增防火墙规则的位置包括:

运行时(runtime):仅当前有效,重载防火墙后失效

永久(permanent):静态配置,需要重载防火墙才能生效

本地端口转发(端口1 --> 端口2):

从客户机访问防火墙主机的 端口1 时,与访问防火墙的 端口 2 时等效

真正的网络应用服务其实在 端口2 提供监听

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:采取“默认全允许,仅拒绝个别”的防护策略

1)启用防火墙服务

[root@server0 ~]# systemctl restart firewalld

[root@server0 ~]# systemctl enable firewalld

2)将默认区域设置为trusted

[root@server0 ~]# firewall-cmd --get-default-zone                 //修改前

public

[root@server0 ~]# firewall-cmd --set-default-zone=trusted         //修改操作

success

[root@server0 ~]# firewall-cmd --get-default-zone             //修改后

trusted

步骤二:封锁指定的IP网段

1)添加永久配置“阻塞来自网段172.34.0.0/24的任何访问”

[root@server0 ~]# firewall-cmd --permanent --zone=block --add-source=172.34.0.0/24

success

2)重载防火墙

[root@server0 ~]# firewall-cmd --reload

success

3)检查运行时规则

[root@server0 ~]# firewall-cmd --list-all --zone=block

block

interfaces:

sources: 172.34.0.0/24

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

步骤三:实现5423-->80端口转发

1)针对80端口部署测试应用

快速搭建一个测试网站:

[root@server0 ~]# yum -y install httpd                    //装包

.. ..

[root@server0 ~]# vim /var/www/html/index.html             //部署测试网页

test site.

[root@server0 ~]# systemctl restart httpd                 //起服务

从客户端访问,确认测试网页:

[root@desktop0 ~]# yum -y install elinks

.. ..

[root@desktop0 ~]# elinks -dump http://server0.example.com/

test site.

2)配置5423-->80端口转发策略

[root@server0 ~]# firewall-cmd --permanent --zone=trusted --add-forward-port=port=5423:proto=tcp:toport=80                             //添加永久配置

success

[root@server0 ~]# firewall-cmd --reload                     //重载服务

Success

[root@server0 ~]# firewall-cmd --list-all                 //确认运行时规则

trusted (default, active)

interfaces: eth1 eth2 eth0 team0

sources:

services:

ports:

masquerade: no

forward-ports: port=5423:proto=tcp:toport=80:toaddr=

icmp-blocks:

rich rules:

3)验证端口转发策略

从desktop0上访问server0的5423端口,与访问server0的80端口效果一样:

[root@desktop0 ~]# elinks -dump http://server0.example.com:5423/

test site.

[root@desktop0 ~]# elinks -dump http://server0.example.com/

test site.

喵喵蜜
关注
linux基础学习方法指导(学习方法+基础命令用法)
景天科技苑
12-31 1万+
1、学习工具:笔记类app:notepad++云笔记有道云笔记印象笔记markdown博客头脑风暴思维导图:xmind2、学习模式:学习时间:不能中断,持续学习,视频学习与实际操作结合学习方向:以企业要求来学习总结分析讨论3、学习新的技术:去网上书店看书籍,看目录,在目录中找相同的知识点根据这些知识点去查找相关资料把这些知识用思维导图画出来注意知识的时效性,注意设置时间节点,并按时实施注意总结,整理出自己的想法发布出来。
SELinux安全机制
FatPuffer
12-26 2069
(一)概述 (1)Security-Enhanced Linux 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 集成到Linux内核(2.6及以上)中运行 RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。 (二)SELinux运行模式 (1)强制模式:enforcing (2)宽松模式permissive (3)彻底禁用:disabled,切换到该模式,必须重启 (三)SELinux操做命令 (1)查看 getenforce
Linux系统中对selinux设定
Sparks _Fly
02-11 343
内核上的插件,需要对内核进行重启 selinx 内核级的加强型火墙 安全上下文匹配可以访问 特定的程序只能访问安全上下文匹配的文件 如果不匹配会被内核禁止 还会影响服务本身的功能 给每一个服务加上开关 0 1 bool值 拨尔值 有选择性的打开on开 off关 文件上的标签和所能访问的服务上的标签不一致则不能访问 chcon 更改安全上下文是临时的 内核上的安全上下文内容 默认的 semana...
2021-03-08 SELinux安全机制研究
dayslrk的博客
03-08 342
SELinux安全机制研究 核心组件 SELinux核心组件由如图2.1几部分组成,包括资源管理器,AVC,Security Server。当主体Subject请求资源时,资源管理器首先会请求AVC,如果AVC里有对该主体对资源请求权限的结果,直接返回决定。否则请求Security Server做进一步决定。 整体采用了LSM架构,利用hook来阻截请求 主体:进程 客体:文件、socket、pipe、网络接口等 安全上下文定义: 使用ls –Z yum.log可以浏览文件的安全.
自定义 SELinux
一步一个脚印
08-18 1029
集成基本级别的 SELinux 功能并全面分析结果后,您可以添加自己的政策设置,以便涵盖对 Android 操作系统所做的自定义。这些政策必须仍然满足 Android 兼容性计划的要求,并且不得移除默认的 SELinux 设置。 制造商不得移除现有的 SELinux 政策,否则可能会破坏 Android SELinux 的实施方式及其管控的应用。这包括可能需要改进以遵守政策并正常运行的第三方应用。...
etc se linux config,SELinux系列(四)——SELinux配置文件(/etc/selinux/config)详解
weixin_35987118的博客
05-16 1209
我们知道,SELinux 是预先配置的,可以在不进行任何手动配置的情况下使用 SELinux 功能。然而,一般来说,预先配置SELinux 设置很难满足所有的 Linux 系统安全需求。SELinux 配置只能有 root 用户进行设置和修改。配置和策略文件位于 /etc/selinux 目录中,主配置文件位 /etc/selinux/config 文件,该文件中的内容如下:[root@loc...
6.6.4、SELinux 配置文件:/etc/selinux/config
最新发布
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 577
SELinux 是预先配置的,可以在不进行任何手动配置的情况下使用 SELinux 功能。然而,一般预先配置SELinux 设置很难满足所有的 Linux 系统安全需求。
Linux安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2289
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
Linux服务器安全加固:Firewalld防火墙配置与高级规则设置
Firewalld采用了一种基于区域的方式来管理防火墙的配置,通过将网络接口和服务划分到不同的区域,可以灵活地控制网络流量的访问规则。Firewalld还支持IPv4、IPv6和Ethernet桥接的防火墙功能。 ## 1.2 为什么需要对...
Linux服务器安全加固:防火墙与Selinux安全加固基础概述
在当今互联网环境中,服务器安全始终是IT领域的头等大事。随着网络攻击日益猖獗,服务器安全加固变得至关重要。一旦服务器遭受攻击,可能会导致数据泄露、系统瘫痪甚至企业破产。因此,加固服务器安全是保障系统稳定...
linux安全
热门推荐
yan_0916的博客
11-12 2万+
这里写目录标题一.安全技术和防火墙1 安全技术2.防火墙的分类二.firewalld服务1.firewalld 介绍2.归入zone顺序3.命令配置3.1.基础命令3.2.查看现有firewall设置3.3.设置查看默认区3.4.添加源地址(网段)及端口 及服务三.iptables1.iptables的组成概述2.实际操作添加查看删除、清空规则 一.安全技术和防火墙 1 安全技术 -入侵检测系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威
selinux
爱吃橙子蜂蜜酱的熊
04-21 330
安全性增强的LinuxSELinux是内置在基于RHEL的发行版使用的Linux内核中的安全机制SELinux通过允许管理员和用户基于策略规则控制对对象的访问,为系统增加了一层安全保护。 SELinux策略规则指定进程和用户如何相互交互以及进程和用户如何与文件交互。如果没有明确允许访问对象的规则,例如打开文件的进程,则拒绝访问。 SELinux具有三种操作模式: 强制执行:SELinux允许基于SELinux策略规则进行访问。 允许:SELinux仅记录在强制模式下运行会被拒绝的操...
Linux系统所有用户命令操作
xiaoqiang137549的专栏
11-13 466
一:Linux操作系统里查看所有用户命令/查看系统命令    1、Linux里查看所有用户       linux里,并没有像windows的net user,net localgroup这些方便的命令来治理用户.        Xwindows界面的就不说了.           (1)在终端里.其实只需要查看 /etc/passwd文件就行了.            (2)看第三个参
[Android 基础] -- SELinux For Android (Android O)
u014674293的博客
08-11 3102
改为当意译自 Android 官方 《SELinux for Android 8.0》
Redhat_Linux 自定义用户环境或者自定义命令
神仙哥哥的博客
04-18 1320
环境Redhat 7.2 我们可以在系统中根据自己的使用习惯自定义用户环境,比如对我们经常用到的一些命令起个别名,来达到自己的使用习惯,也可以用最少的敲击键盘次数,看到我们希望看到东西,可能我们需要输入一长串命令才显示出来的东西,通过我们的自定义之后用简单的几个字母就能实现,,,这就会大大的节省我们的时间,提高工作效率。。。其实实现起来是非常简单的,接下来我举个例子,,, 示例: 在系统sy...
Linux学习笔记】Linux服务器:配置与管理samba服务器
Adlerian的博客
07-06 5916
samba是一套让UNIX系统能够应用Microsoft网络通讯协议的软件。它可以使UNIX系统与Windows系统的计算机分享驱动器与打印机。
不关闭selinux,在CentOS8中安装和配置samba共享
lggirls的博客
05-02 4126
1. 安装samba,并设置为开机启动;开放防火墙对samba的限制 ;配置samba共享的内容 #下面两行,安装和设定samba开机启动 dnf install samba samba-client systemctl enable --now {smb,nmb} #下面几行,显示samba的有关防火墙配置和开放samba的端口 firewall-cmd --info-service sa...
智能终端信息安全概念(十):内核安全(2)SElinux
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-30 1620
SELinux由NSA发布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。,可在Linux系统中配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
Android8.1 新增系统自定义服务一 (SELinux权限)
kaijiehui
10-27 1万+
           一开始并没有注意到android8.0以后和之前有多大区别,知道最近有需求要求增加一个自定义服务,一直没有生效报avc权限问题 在SystemServer startOthreService中 ServiceManager.addService () 出现了AVC权限: SELinux: avc denied {add} for service=gesture pid=...
Linux环境下主从DNS服务器搭建教程与bind配置详解
1. **环境准备**:在开始前,需要关闭SELinux的强化模式和防火墙以方便测试,使用`setenforce 0`禁用SELinux并`systemctl stop firewalld`关闭防火墙。然后检查53端口是否开放,确保DNS服务可以正常接收请求。 2. *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值