Selinux概述:
- Security-Enhanced Linux
- 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
- 集成到Linux内核(2.6及以上)中运行
- RHEL7基于SELinux体系针对用户,进程,目录和文件提供了预设的保护策略以及管理工具
SElinux运行模式的切换
- SELinux的运行模式
- enforcing(强制)
- permissive(宽松)
- disabled(彻底禁用)
- 切换运行模式
#getenforce #查看运行模式
#setenfore 1 #切换运行模式为enforcing
#setenfore 0 #切换运行模式为permissive
#vim /etc/selinux/config #更改固定配置
disabled #禁用模式
#reboot #重启系统以切换模式
防火墙简介
firewalld服务基础
1. CentOS7的防火墙体系
- 系统服务:firewalld
- 管理工具:firewall-cmd , firewall-config
#systemctl enable firewalld --now #将防火墙服务设置成开启自启并且现在启用 #firewall-config &
2. 预设安全区域
- 根据所在的网络场所区分,预设保护规则集
规则集 规则 public 仅允许访问本机的sshd,dhcp等少数几个服务 trusted 允许任何访问 block 阻塞任何来访请求 drop 丢弃任何来访的数据包
- 配置规则的位置
运行时(runtime)
永久(permanent)
3. 指定默认的安全区域
- 使用 --set-default-zone=区域名
默认为public,限制比较严格
对于开放式环境,建议将默认区域修改为trusted
针对“运行时/永久配置”均有效
#firewall-cmd --get-default-zone #查看防火墙当前的规则集 #firewall-cmd --set-default-zone=trusted #将防火墙规则改为trusted #firewall-cmd --zone=drop --list-all #查看drop规则区域的策略
4. 防火墙策略的管理
- 封网段,开服务
若针对“永久配置”,需要添加--permanent
使用--add-source=网段地址
使用--add-service=协议
#firewall-cmd --permanent --zone=block --add-soure=172.34.0.0/24 #阻止34网段的访问 #firewall-cmd --permanent --zone=public --add-service=http #开启http服务 #firewall-cmd --permanent --zone=block --remove-source=192.168.4.0/24 #删除对4网段拒绝访问的规则 #firewall-cmd --reload #重载防火墙配置