Linux 系统安全保护 配置用户环境 防火墙策略的管理(Engineer02----DAY9)

系统安全保护

SELinux概述
• Security-Enhanced Linux
– 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具

SELinux运行模式的切换
• SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)

任何模式进入到disabled(彻底禁用)，都要经历重起系统

• 切换运行模式
– 临时切换:setenforce 1|0
– 固定配置:/etc/selinux/config 文件 #下一次开机生效

虚拟机server：
1.当前临时修改
[root@server0 ~]# getenforce #查看SELinux状态
[root@server0 ~]# setenforce 0 #修改SELinux状态
[root@server0 ~]# getenforce
2.固定配置
[root@server0 ~]# vim /etc/selinux/config
SELINUX=permissive

虚拟机desktop：
1.当前临时修改
[root@desktop0 ~]# getenforce
[root@desktop0 ~]# setenforce 0
[root@desktop0 ~]# getenforce
2.固定配置
[root@desktop0 ~]# vim /etc/selinux/config
SELINUX=permissive
###########################################################
配置用户环境

• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效

[root@server0 ~]# vim /root/.bashrc
alias hello=‘echo hello’
[root@server0 ~]# vim /home/student/.bashrc
alias hi=‘echo hi’
[root@server0 ~]# vim /etc/bashrc
alias haxi=‘echo haha xixi’

新开一个终端，重新远程管理进行验证

#########################################################
虚拟机server构建Web服务
1.安装httpd软件包
[root@server0 ~]# yum -y install httpd
[root@server0 ~]# rpm -q httpd
httpd-2.4.6-17.el7.x86_64

2.重起httpd程序（重起httpd服务）
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl status httpd
Active: active (running)

3.本机测试
[root@server0 ~]# firefox 172.25.0.11

4.书写一个网页文件
默认网页文件存放路径：/var/www/html
默认网页文件名称：index.html
[root@server0 ~]# vim /var/www/html/index.html

NSD1911阳光明媚 哈哈嘻嘻
滚动 字体颜色 字体变大

[root@server0 ~]# firefox 172.25.0.11

虚拟机server构建FTP服务
1.安装vsftpd软件包
[root@server0 ~]# yum -y install vsftpd

2.重起服务
[root@server0 ~]# systemctl restart vsftpd
[root@server0 ~]# systemctl status vsftpd

3.本机访问测试
[root@server0 ~]# firefox ftp://172.25.0.11

默认共享数据的路径:/var/ftp

#######################################################
防火墙策略的管理

作用： 隔离 严格过滤入站，放行出站

硬件防火墙

软件防火墙：firewalld服务基础

Linux的防火墙体系
• 系统服务:firewalld
• 管理工具:firewall-cmd、firewall-config(图形工具)

预设安全区域
• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的ssh、ping、dhcp
– trusted:允许任何访问
– block:阻塞任何来访请求（明确拒绝所有，客户端收到回应）
– drop:丢弃任何来访的数据包（不给回应，客户端不会收到回应）

防火墙判定的规则：匹配及停止
1.查看请求数据包中源IP地址，查看防火墙所有的区域，哪一个区域有该源IP地址的规则，则进入该区域
2.进入默认区域（默认情况下为public）

源172.25.0.10 目标172.25.0.11

####################################################
防火墙默认区域的修改
虚拟机server：
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop：
]# ping 172.25.0.11 #可以通信

虚拟机server：
]# firewall-cmd --set-default-zone=block #修改默认区域为block
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop：
]# ping 172.25.0.11 #不可以通信，有回应

虚拟机server：
]# firewall-cmd --set-default-zone=drop #修改默认区域为drop
]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop：
]# ping 172.25.0.11 #不可以通信，没有回应
##########################################################
修改区域的规则
http：超文本传输协议

虚拟机server：
]# firewall-cmd --set-default-zone=public #修改默认区域
]# firewall-cmd --get-default-zone #查看默认区域
]# firewall-cmd --zone=public --list-all #查看区域的规则
]# firewall-cmd --zone=public --add-service=http #添加允许的协议
]# firewall-cmd --zone=public --list-all #查看区域的规则
虚拟机desktop：测试
]# firefox 172.25.0.11 #可以访问成功
]# firefox ftp://172.25.0.11 #访问失败

虚拟机server：
]# firewall-cmd --zone=public --list-all #查看区域的规则
]# firewall-cmd --zone=public --add-service=ftp #添加允许的协议
]# firewall-cmd --zone=public --list-all #查看区域的规则
虚拟机desktop：测试
]# firefox 172.25.0.11 #可以访问成功
]# firefox ftp://172.25.0.11 #可以访问成功

########################################################
虚拟机server：
永久的策略添加
添加选项(–permanent)
]# firewall-cmd --reload #重新加载防火墙的所有策略
]# firewall-cmd --zone=public --list-all

]# firewall-cmd --permanent --zone=public --add-service=http
]# firewall-cmd --zone=public --list-all
]# firewall-cmd --reload
]# firewall-cmd --zone=public --list-all

]# firewall-cmd --permanent --zone=public --add-service=ftp
]# firewall-cmd --zone=public --list-all
]# firewall-cmd --reload
]# firewall-cmd --zone=public --list-all

########################################################
源IP地址规则
单独拒绝虚拟机desktop的所有访问，其他机器可以正常访问

虚拟机server：
]# firewall-cmd --zone=block --add-source=172.25.0.10
]# firewall-cmd --zone=block --list-all

虚拟机desktop：测试
]# firefox 172.25.0.11 #访问失败
]# firefox ftp://172.25.0.11 #访问失败

真机：测试
]# firefox 172.25.0.11 #访问成功
]# firefox ftp://172.25.0.11 #访问成功

eth0网卡的MAC地址：一张网卡的硬件地址

#########################################################
端口：编号 标识服务或协议或程序
管理员root可以改变端口

       珠市口大街38号    达外理发店
      IP地址         8号   相应的理发师

http协议：默认端口 80
ftp协议：默认端口 21

实现本机的端口映射（端口转发）
– 从客户机访问 5423 的请求,自动映射到本机 80
– 比如,访问以下两个地址可以看到相同的页面:
http://172.25.0.11:5423
http://172.25.0.11:80

虚拟机server：
1.删除策略
]# firewall-cmd --zone=block --remove-source=172.25.0.10

2.添加端口转发的策略
]# firewall-cmd --permanent --zone=public
–add-forward-port=port=5423:proto=tcp:toport=80

]# firewall-cmd --reload //重载配置

3.客户端测试,禁止本机测试
]# firefox 172.25.0.11:5423
curl IP地址 本机测试

#########################################################