1.防火墙firewalld管理(规则,服务,端口,重载)
(考试第三道题)
了解:1.我们使用系统防火墙和SELinux规划来控制与服务的网络连接
2.使用防火墙规则来接受或拒绝与系统服务的网络连接
3.通过管理SELinux端口标签来控制网络服务是否可以使用特定的网络端口
2.管理服务器防火墙
1.RHEL7之前防火墙使用的是iptables,RHEL8使用的是firewalld
不管是iptables,还是firewalled,都是借助于Linux内核中包含的netfilter组件(可以实现数据包过滤、网络地址转换和端口转换)
nftables是Linux内核中包含的一个增强型的netfilter,包含了netfilter的功能,具有过滤器和。 数据包分类的功能
firewalld是一个动态防火墙管理器,是一种改进的iptables,它是nftables框架的前端(使用nft命令)
[root@servera ~]# systemctl status firewalld.service //(查看状态)看到servera上的防火墙默认是开启的running
stop
start
restart //先关闭然后开启
enable //开机自启
is-enabled
3.Linux系统的安全机制分为四层
(1)文件系统Filesystem:chmod(9位权限rwx), chown(改变所有者所属组), setfacl(特殊用户特殊权限)
(2)Service:vim /etc/*.conf(该服务对应的底层配置文件)
(3)Firewall: firewall-cmd ... (防火墙机制)
(4)SELinux:vim /etc/selinux/config(fcontext,port,setsebool)(高级防火墙)
注意:root用户是凌驾于Filesystem权限之上的,但如果开启了SELinux,不是针对用户是否具有权限能访问文件或目录了,而是针对进程,是否有权限访问特定的文件目录。变相加强了安全性。
4. SElinux理论概述
SElinux(Security Enhanced Linux)是由美国国家安全局(NSA:National Security Agency)开发,为了避免资源误用而设计的,额外的系统安全层。
它由一系列的规则组成,决定了哪些进程可以访问哪些文件、目录和端口。
每个文件、目录和端口都具有特别的安全标签,称为SElinux的安全上下文。
默认情况下SElinux是开启状态。
例如:
Apache---------------------------/var/www/html Apache---------------------------/var/www/html
SElinux Enforcing
在启用了SElinux后,用户访问Apache服务(本身也是一个进程),即访问/var/www/html目录,要看该进程与其访问的目录及文件的安全上下文是否对应
SElinux的配置文件
vim /etc/selinux/config (底层配置文件)
两个参数
(1)SELINUX=enforcing //设置SELINUX的状态(或工作模式)
SELINUX的三种工作模式:
enforcing - SELinux security policy is enforced. //强制,即监控也干预(如果fcontext不一致,则不允许访问)
permissive - SELinux prints warnings instead of enforcing. //允许(警告),即只监控,不干预(中间值)
disabled - No SELinux policy is loaded. //关闭 (关闭就没有了)
(2)SELINUXTYPE=targeted //设置SELINUX对系统的管理范围,一般不进行设置
# targeted - Targeted processes are protected.
//对大部分网络服务进行管制,缺省值
# minimum - Modification of targeted policy. Only selected processes are protected. //仅对选定的网络服务进行管制,一般不使用
# mls - Multi Level Security protection. //多级别安全,它会对Linux系统中所有的选项生效,会占用系统40%的性能,一般不使用
4 查看和设置SElinux工作模式的方法
(1)查看SElinux工作模式
getenforce
(2)设置SElinux工作模式
方法一:命令方式修改(仅本次有效,重启无效)
setenforce 0 (permissive)
getenforce
setenforce 1 (enforcing)
getenforce
方法二:修改配置文件/etc/selinux/config
SELINUX=enforcing
Linux操作系统实验报告12 归档技术
2020122103125 20级大数据2班 李蒙
tips:du -sh 估算文件大小
1.tar命令(归档)的使用
归档:将多个文件汇集成一个文件(既可以是文件也可以是子目录)注意:压缩操作是另外的
2.创建tar包(单纯打包不能压缩文件大小!)
tar -cvf limeng.tar /etc (.tar->tar包后缀)
-c 创建归档包
-v 显示详细的提示信息
-f 指定文件名
tips:辅助命令-辨别上一条命令的运行情况
echo $?(如果结果为0,说明上边的命令执行成功,非0,表示失败)
file limeng.tar //显示后面对象的类型
(重点小操作)dd if=/dev/zero of=./limeng.txt bs=1M count=30 (dd 表示生成大文件;if表示inputfile 输入源文件;/dev/zero 0号文件;of 表示outputfile 输出生成文件;./当前路径;limeng1.txt生成文件名;bs数据块大小典型为1M,极端为1GB or 1KB;count表示连写count多少就乘以多少)
dd if=/dev/zero of=./limeng.txt bs=1M count=30
创建limeng2.txt文件,50MB大小
ls -lh
tar -cvf bgl1.tar limeng1.txt limeng2.txt (只聚集,不压缩)
echo $?
file limeng.tar
利用之前学过的管道符输出我们需求的limeng文件
3.创建压缩的tar包(具有压缩能力的tar包)
可以利用man tar帮助记忆
/-j
/-z
n 下一个匹配项;shift+n 上一个匹配项
(考试重点不要弄混)三种压缩技术:
1).gzip-----.gz(要求扩展名为.gz)——>即在tar命令中添加一个参数 -z
tar -zcvf limeng4.tar.gz /etc (-z 匹配 .gz)
file limeng4.tar.gz
du -sh limeng4.tar.gz
tar -zcvf limeng5.tar.gz limeng1.txt limeng2.txt
etc目录文件压缩包:
limeng1与limeng2.txt文件压缩包:
du –sh 估计大小:
2).bzip2-----.bz2——>即在tar命令中添加一个参数 -j
tar -jcvf limeng6.tar.bz2 /etc (-j 匹配.bz2)
file limeng6.tar.bz2
du -sh limeng6.tar.bz2
tar -jcvf limeng7.tar.bz2 111.txt 222.txt
3).xz-----.xz——>即在tar命令中添加一个参数 -J
tar -Jcvf limeng4.tar.xz /etc ( -J 匹配.xz)
file limeng4.tar.xz
du -sh limeng4.tar.xz
tar -Jcvf limeng4.tar.xz limeng1.txt limeng2.txt
区别:大写J对应的 .xz压缩:
ls -lh
结论:一般情况下,压缩比xz>bzip2>gzip
压缩时长xz>bzip2>gzip
即压缩比越高,时长越长
(3)查询tar包中包含的文件目录列表(-t 查询必须当前位置有这位)
tar -tf limeng4.tar.gz
tar -tf limeng4.tar.bz2
tar -tf limeng4.tar.xz
-t 查看的是使用tar命令归档的包
-f 指定文件名
(非常重要)
(4)释放tar包(默认释放在当前目录下)
即在tar命令中添加一个参数-x(把c换成x 其他不变 解压)
tar -xzvf limeng4.tar.gz
tar -xjvf limeng4.tar.bz2
tar -xJvf limeng4.tar.xz
tar -xzvf limeng4.tar.gz
tar -xjvf limeng4.tar.bz2
tar -xJvf limeng4.tar.xz
实例:
tar –zxvf limeng4.tar.gz
tar –jxvf limeng6.tar.bz2
(非常重要考试看要求)
(5)释放在指定目录下 –C (指定目录解压)
mkdir /2020122103125
tar –xjvf limeng4.tar.bz2 -C /2020122103125/
考试题型:将/etc目录归档并压缩到/root/backup.tar.bz2,使用bzip2压缩。
课后练习题
1.创建一个名为 /root/backup.tar.gz 的 tar 存档,其应包含 /usr/local 的内容。该 tar 存档必须使用 gzip 进行压缩。
tar -czvf /root/backup.tar.gz /usr/local
2.将/etc目录归档并压缩到/root/backup.tar.bz2,使用bzip2压缩。
tar -jcvf /root/backup.tar.bz2 /etc