开启防火墙:熟悉使用iptables命令,以及firewall-cmd命令
1.设置只允许某些ip使用ssh连接服务器(设置在windows不能ssh到linux)
[root@zhujd ~]# iptables -I INPUT -p tcp -s 192.168.5.129 --dport 22 -j ACCEPT
- 设置可以使用8001端口访问httpd服务
[root@zhujd ~]# iptables -I INPUT -p tcp -s 192.168.5.129 --dport=8001 -j ACCEPT
- selinux中字段意思,特别是type字段: 身份:角色:类型
1、身份标识(Identify):相当于账号方面的身份标识,主要有以下三种常见的类型:
root:表示root的账号身份;
system_u:表示程序方面的标识,通常就是进程;
unconfined_u:代表的是一般用户账号相关的身份。
2、角色(role):通过角色字段,可知道这个数据是属于程序、文件资源还是代表用户。一般角色有:
object_r:代表的是文件或目录等文件资源;system_r:代表的是进程。
3、类型(type):在默认的targeted策略中,Identify与role字段基本上是不重要的,重要的在于这个类型字段。而类型字段在文件与进程的定义不太相同,分别是:
type:在文件资源上面称为类型。
domain:在主体程序中则称为域。
domain需要与type搭配,则该程序才能够顺利读取文件资源。
4、最后一个字段是和MLS和MCS相关的东西,代表灵敏度,一般用s0、s1、s2来命名,数字代表灵敏度的分级。数值越大、灵敏度越高。
- DAC和MAC的区别
传统的文件权限与账号的关系:自主访问控制,DAC(Discretionary Access Control)
当某个进程想要对文件进行访问时,系统就会根据该进程的所有者/用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。各种权限设置对root用户是无效的。
以策略规则制定特定程序读取特定文件:强制访问控制,MAC(Mandatory Access Control)
MAC可以针对特定的进程与特定的文件资源来进行权限的控制。也就是说,即使你是root,在使用不同的进程时,你所能取得的权限并不一定是root,而得要看当时该进程的设置而定。如此一来,就可以针对进程而不是用户对文件来进行访问控制。此外,这个进程也不能任意使用系统文件资源,因为每个文件资源也有针对进程设置可取用的权限。由于,整个系统进程那么多,文件那么多,所以SELinux也提供一些默认的策略(policy),并在该策略内提供多个规则,让你可以选择是否启用该控制规则。
749
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
