第七章:selinux
1、selinux的说明
seLinux可以通过强制访问控制(MAC)限制程序、文件的权限
MAC可以理解为进程和文件之间的特殊权限关系
MAC可以针对特定的进程与特定的文件资源来进行权限的控制。
开启时的功能:
(1)限制程序使用文件 如:nginx /www
(2)限制程序使用端口 如:sshd 2222
2、selinux的工作原理
SELinux是通过MAC的方式来控制管理进程,它控制的主体是进程,而目标则是该进程能否读取的文件资源。
主体(subject):就是进程
目标(object):被主体访问的资源,可以是文件、目录、端口等。
策略(policy):
- targeted:针对网络服务限制较多,针对本机限制较少,是默认的策略;
- strict:完整的SELinux限制,限制方面较为严格。
安全上下文(security context):主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能够顺利访问。(相当于标签作用)
3、selinux的启动、关闭与查看
(1)seLinux三种模式
- enforcing:强制模式
- permissive:宽容模式,只警告,不限制
- disabled:关闭,SELinux并没有实际运行
(2)修改安全上下文
4、selinux对linux服务的影响
(1)实验一:使用httpd服务演示安全上下文值的设定
(2)实验二:使用web服务端口的改变来演示端口的设定
第八章:防火墙
防火墙是为了防止安全风险从一个区域蔓延到另一个区域的设备,具有隔离功能。简单理解为是筛选和过滤流量,对需要的流量进行放行,对不需要或者有威胁的流量进行拒绝。
防火墙的工具:iptables、firewallld
不同的内核版本使用的设置防火墙策略的软件不一样,红帽7系统之前是iptables,之后是firewallld
1、iptables(静态防火墙)
防火墙以从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为,如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。
防火墙的策略规则处理(行为)有两种方式:放行、阻止。
注意:当防火墙默认策略为拒绝时,要写一条允许规则;而防火墙默认策略为允许时,要写一条拒绝规则。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
在进行路由选择前处理数据包,用于目标地址转换(PREROUmTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包,用于源地址转换(POSTROUTING)。
准备工作:
参数说明:
实验:
(1)实验一:搭建web服务,设置任何人能够通过80端口访问
(2)禁止所有人ssh远程登录该服务器
(3)禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为192.168.59.143
2、firewalld(动态防火墙)
为了防止只修改一条规则也要进行所有规则的重新载入的模式,就出现了firewalld动态防火墙,可以实现任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新即可,它具备对 IPv4 和 IPv6防火墙设置的支持
firewalld增加了区域,将规则存放在区域中。
firewalld中常见的区域名称(默认为public)以及相应的策略规则:
在RHEL7中,firewalld服务是默认的防火墙配置管理工具,他拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。firewall-config(图形化工具)和firewall-cmd(命令行工具)可直接编辑xml文件
firewall-cmd命令的参数说明如下:
配置
如果访问服务访问不通,排错:
1、查看监听端口(没有监听,服务没有运行)
2、在服务端用命令进行测试
3、客户端ping一下服务端
4、测试该ip的端口能否访问
到此这篇文件权限777与775的区别(文件权限750)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/bcyy/38100.html