内农大-大数据专业课程-Linux虚拟机技术续----11新防火墙firewalld管理与SElinux管理（ip防火墙为centos6的，7也换成firewalld命令了）

1.防火墙firewalld管理（规则，服务，端口，重载）

(考试第三道题)

了解：1.我们使用系统防火墙和SELinux规划来控制与服务的网络连接

2.使用防火墙规则来接受或拒绝与系统服务的网络连接

3.通过管理SELinux端口标签来控制网络服务是否可以使用特定的网络端口

2.管理服务器防火墙

1.RHEL7之前防火墙使用的是iptables，RHEL8使用的是firewalld

不管是iptables，还是firewalled，都是借助于Linux内核中包含的netfilter组件（可以实现数据包过滤、网络地址转换和端口转换）

nftables是Linux内核中包含的一个增强型的netfilter，包含了netfilter的功能，具有过滤器和。 数据包分类的功能

firewalld是一个动态防火墙管理器，是一种改进的iptables，它是nftables框架的前端（使用nft命令）

[root@servera ~]# systemctl status firewalld.service     //（查看状态）看到servera上的防火墙默认是开启的running

              stop

              start

              restart                           //先关闭然后开启

              enable                           //开机自启

              is-enabled

 3.Linux系统的安全机制分为四层

(1)文件系统Filesystem：chmod（9位权限rwx）, chown（改变所有者所属组）, setfacl（特殊用户特殊权限）

(2)Service：vim /etc/*.conf（该服务对应的底层配置文件）

(3)Firewall： firewall-cmd ... （防火墙机制）

(4)SELinux：vim /etc/selinux/config(fcontext,port,setsebool)（高级防火墙）

注意：root用户是凌驾于Filesystem权限之上的，但如果开启了SELinux，不是针对用户是否具有权限能访问文件或目录了，而是针对进程，是否有权限访问特定的文件目录。变相加强了安全性。

4. SElinux理论概述

SElinux（Security Enhanced Linux）是由美国国家安全局（NSA：National Security Agency）开发，为了避免资源误用而设计的，额外的系统安全层。

它由一系列的规则组成，决定了哪些进程可以访问哪些文件、目录和端口。

每个文件、目录和端口都具有特别的安全标签，称为SElinux的安全上下文。

默认情况下SElinux是开启状态。

例如：

Apache---------------------------/var/www/html                                         Apache---------------------------/var/www/html

                                                                                                                                      SElinux Enforcing

   在启用了SElinux后，用户访问Apache服务（本身也是一个进程），即访问/var/www/html目录，要看该进程与其访问的目录及文件的安全上下文是否对应

SElinux的配置文件

vim /etc/selinux/config （底层配置文件）

两个参数

(1)SELINUX=enforcing            //设置SELINUX的状态(或工作模式)

SELINUX的三种工作模式：

enforcing - SELinux security policy is enforced.                      //强制，即监控也干预（如果fcontext不一致，则不允许访问）

permissive - SELinux prints warnings instead of enforcing.   //允许（警告），即只监控，不干预（中间值）

disabled - No SELinux policy is loaded.                                   //关闭 （关闭就没有了）

(2)SELINUXTYPE=targeted     //设置SELINUX对系统的管理范围，一般不进行设置

#     targeted - Targeted processes are protected.   

//对大部分网络服务进行管制，缺省值

#     minimum - Modification of targeted policy. Only selected processes are protected.      //仅对选定的网络服务进行管制，一般不使用

#     mls - Multi Level Security protection.                                                                                  //多级别安全，它会对Linux系统中所有的选项生效，会占用系统40%的性能，一般不使用

4 查看和设置SElinux工作模式的方法

(1)查看SElinux工作模式

getenforce

(2)设置SElinux工作模式

方法一：命令方式修改（仅本次有效，重启无效）

setenforce 0 （permissive）

getenforce

setenforce 1  （enforcing）

getenforce

方法二：修改配置文件/etc/selinux/config

SELINUX=enforcing

Linux操作系统实验报告12 归档技术

2020122103125     20级大数据2班          李蒙

tips：du -sh 估算文件大小

1.tar命令(归档)的使用

归档：将多个文件汇集成一个文件(既可以是文件也可以是子目录)注意：压缩操作是另外的

2.创建tar包（单纯打包不能压缩文件大小！）

tar -cvf limeng.tar /etc （.tar->tar包后缀）

-c 创建归档包   

-v 显示详细的提示信息

-f 指定文件名

tips:辅助命令-辨别上一条命令的运行情况

echo $?(如果结果为0，说明上边的命令执行成功，非0，表示失败)

file limeng.tar   //显示后面对象的类型

（重点小操作）dd if=/dev/zero of=./limeng.txt bs=1M count=30 （dd 表示生成大文件；if表示inputfile 输入源文件；/dev/zero 0号文件；of 表示outputfile 输出生成文件；./当前路径；limeng1.txt生成文件名；bs数据块大小典型为1M，极端为1GB or 1KB；count表示连写count多少就乘以多少）

dd if=/dev/zero of=./limeng.txt  bs=1M  count=30

创建limeng2.txt文件，50MB大小

ls -lh

tar -cvf bgl1.tar limeng1.txt  limeng2.txt （只聚集，不压缩）

echo $?

file limeng.tar

利用之前学过的管道符输出我们需求的limeng文件

3.创建压缩的tar包（具有压缩能力的tar包）

可以利用man tar帮助记忆

/-j

/-z

n 下一个匹配项；shift+n 上一个匹配项

（考试重点不要弄混）三种压缩技术:

1）.gzip-----.gz（要求扩展名为.gz）——>即在tar命令中添加一个参数 -z

tar -zcvf limeng4.tar.gz  /etc （-z 匹配 .gz）

file limeng4.tar.gz

du -sh limeng4.tar.gz

tar -zcvf  limeng5.tar.gz  limeng1.txt  limeng2.txt

etc目录文件压缩包：

limeng1与limeng2.txt文件压缩包：

du –sh 估计大小：

2）.bzip2-----.bz2——>即在tar命令中添加一个参数 -j

tar -jcvf limeng6.tar.bz2 /etc （-j 匹配.bz2）

file limeng6.tar.bz2

du -sh limeng6.tar.bz2

tar -jcvf limeng7.tar.bz2 111.txt 222.txt

3）.xz-----.xz——>即在tar命令中添加一个参数 -J

tar -Jcvf limeng4.tar.xz /etc   （ -J 匹配.xz）

file limeng4.tar.xz

du -sh limeng4.tar.xz

tar -Jcvf limeng4.tar.xz  limeng1.txt  limeng2.txt

区别：大写J对应的 .xz压缩：

ls -lh   

结论：一般情况下，压缩比xz>bzip2>gzip

                  压缩时长xz>bzip2>gzip

即压缩比越高，时长越长

(3)查询tar包中包含的文件目录列表（-t 查询必须当前位置有这位）

tar -tf limeng4.tar.gz

tar -tf limeng4.tar.bz2

tar -tf limeng4.tar.xz

-t 查看的是使用tar命令归档的包

-f 指定文件名

（非常重要）

(4)释放tar包(默认释放在当前目录下)

即在tar命令中添加一个参数-x（把c换成x 其他不变 解压）

tar -xzvf limeng4.tar.gz

tar -xjvf limeng4.tar.bz2

tar -xJvf limeng4.tar.xz

tar -xzvf limeng4.tar.gz

tar -xjvf limeng4.tar.bz2

tar -xJvf limeng4.tar.xz

实例：

tar –zxvf limeng4.tar.gz

tar –jxvf limeng6.tar.bz2

（非常重要考试看要求）

(5)释放在指定目录下 –C （指定目录解压）

mkdir /2020122103125

tar –xjvf  limeng4.tar.bz2  -C  /2020122103125/

考试题型:将/etc目录归档并压缩到/root/backup.tar.bz2,使用bzip2压缩。

课后练习题

1.创建一个名为 /root/backup.tar.gz 的 tar 存档，其应包含 /usr/local 的内容。该 tar 存档必须使用 gzip 进行压缩。

tar -czvf /root/backup.tar.gz /usr/local

2.将/etc目录归档并压缩到/root/backup.tar.bz2,使用bzip2压缩。

tar -jcvf /root/backup.tar.bz2 /etc