iptables 和 firewall
iptables用于设置防火墙(firewall), 即管理内外通信。
iptables 能做到“控制内部机器上网与不上网,访问哪些网站的控制”
但日志只能记录关于访问ip数据的相关信息。
firewall是centos7里面的新的防火墙命令,它底层还是使用 iptables 对内核命令动态通信包过滤的,简单理解就是firewall是centos7下管理iptables的新命令Iptables与Firewalld防火墙
SELinux
SELinux主要用于对文件(file), 文件夹 (directory), 过程(process)的限制。最大限度地减小系统中服务进程可访问的资源(根据的是最小权限原则)。避免权限过大的角色给系统带来灾难性的结果。查看selinux状态
# getenforce
临时关闭selinux
# setenforce 0
永久关闭
# vi /etc/selinux/config
# SELINUX=enforcing改为SELINUX=disabled
hosts.allow 和hosts.deny
Linux安全性还有:
修改 hosts.allow , hosts.deny 这2个文件来配置,这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问, 允许某个ip访问, 或者禁止访问.可以通过这种方式设置限制 sshd 的远程访问, 只允许某个ip通过 sshd 远程登录管理服务器.
1、修改/etc/hosts.allow文件
sshd:192.168.3.*:allow
以上写法表示允许192.168.3.*一个ip段连接sshd服务(这还需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。
当然如果管理员集中在一个IP那么这样写是比较省事的
all:192.168.3.11
以上写法表示接受11这个ip的所有请求!
2、修改/etc/hosts.deny文件
此文件是拒绝服务列表,文件内容如下:
sshd:all:deny
sshd:all:deny表示拒绝了所有sshd远程连接。如上 :deny 可以省略。
注:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。
如在192.168.30.174服务器上修改/etc/hosts.deny文件
sshd:192.168.30.62:deny
在192.168.30.62服务器上访问192.168.30.174,报如下错误
[root@node1 ~]# ssh 192.168.30.174
ssh_exchange_identification: read: Connection reset by peer
[root@node1 ~]# scp 123.txt 192.168.30.174:/root
ssh_exchange_identification: read: Connection reset by peer
ssh和sshd的区别
在主机中开启了openssh服务,那么就对外开放了远程连接的接口
openssh的服务端:sshd
openssh的客户端:ssh
ssh= secure shell
可以让远程主机通过网络访问sshd服务,开始一个安全shell,并对其进行操控
sshd
可以通过网络在主机中开启shell的服务,d就daemon,就是后台进程的含义
远程管理Linux系统常用到ssh服务,/etc/ssh/ssh_config和/etc/ssh/sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。两个配置文件都允许你通过设置不同的选项来改变客户端程序的运行方式。
注意:如果是修改其他主机远程到该主机的远程端口,需要修改该配置文件的Port参数;使其客户端和服务器端的ssh端口保持一致。