13第十三章-Linux安全管理

Linux安全管理Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄Linux防火墻概述RHEL8系統(tǒng)的防火墻功能由firewalld服務實現(xiàn)firewalld服務用來管理host-level，支持動態(tài)管理的防火墻守護進程iptables，ip6tables用來管理low-level，支持靜態(tài)管理的防火墻守護進程Linux防火墻概述firewall守護進程目前具有以下功能：支持絕大多數(shù)system-config-firewall所具有的功能。實現(xiàn)動態(tài)管理，對于規(guī)則的更改不再需要重新創(chuàng)建整個防火墻。一個簡單的系統(tǒng)托盤區(qū)圖標來顯示防火墻狀態(tài)，方便開啟和關(guān)閉防火墻。提供firewall-cmd命令行界面進行管理及配置工作。為libvirt提供接口及界面實現(xiàn)firewall-config圖形化配置工具。實現(xiàn)系統(tǒng)全局及用戶進程的防火墻規(guī)則配置管理。區(qū)域Zone的支持。NetworkManager防火墻規(guī)則助手防火墻概念區(qū)域：定義了網(wǎng)絡(luò)連接的可信等級。這是一個一對多的關(guān)系，這意味著一次連接可以僅僅是一個區(qū)域的一部分，而一個區(qū)域可以用于很多連接。服務：是端口和/或協(xié)議入口的組合。備選內(nèi)容包括netfilter助手模塊以及IPv4、IPv6地址。

端口和協(xié)議：定義了tcp或udp端口，端口可以是一個端口或者端口范圍。ICMP阻塞：可以選擇Internet控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應。偽裝：私有網(wǎng)絡(luò)地址可以被映射到公開的IP地址。這是一次正規(guī)的地址轉(zhuǎn)換。端口轉(zhuǎn)發(fā)：端口可以映射到另一個端口以及/或者其他主機防火墻區(qū)域由firewalld提供的區(qū)域按照從不信任到信任的順序排序。丟棄：任何流入網(wǎng)絡(luò)的包都被丟棄，不作出任何響應。只允許流出的網(wǎng)絡(luò)連接。阻塞：任何進入的網(wǎng)絡(luò)連接都被拒絕，并返回IPv4的icmp-host-prohibited報文或者IPv6的icmp6-adm-prohibited報文。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。公開（默認）：用以可以公開的部分。你認為網(wǎng)絡(luò)中其他的計算機不可信并且可能傷害你的計算機。只允許選中的連接接入。外部：用在路由器等啟用偽裝的外部網(wǎng)絡(luò)。你認為網(wǎng)絡(luò)中其他的計算機不可信并且可能傷害你的計算機。只允許選中的連接接入。隔離區(qū)（dmz）：用以允許隔離區(qū)（dmz）中的電腦有限地被外界網(wǎng)絡(luò)訪問。只接受被選中的連接。工作：用在工作網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接。家庭：用在家庭網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接。內(nèi)部：用在內(nèi)部網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計算機不會影響你的計算機。只接受被選中的連接。受信任的：允許所有網(wǎng)絡(luò)連接。防火墻配置配置命令：firewall-cmd配置圖形工具:firewall-config配置文件:/etc/firewalld/防火墻命令防火墻配置案例允許http服務firewall-cmd --permanent--add-service=http開啟22端口（ssh服務）firewall-cmd --permanent --add-port=22/tcp保存防火墻到配置文件中firewall-cmd --reload

--list-all 列出所有規(guī)則

--reload 保存到配置文件中

--permanent永久生效Firewall-config配置打開firewall-config圖形界面的防火墻配置選項卡選擇永久區(qū)域選項卡中選擇work區(qū)域選擇服務子選項卡勾選https服務重載防火墻使之永久生效，結(jié)束配置處理永久區(qū)域--permanent：永久選項不直接影響運行時的狀態(tài)。這些選項僅在重載或者重啟服務時可用。獲取永久選項所支持的服務firewall-cmd--permanent--get-services獲取永久選項所支持的ICMP類型列表firewall-cmd--permanent--get-icmptypes獲取支持的永久區(qū)域firewall-cmd--permanent--get-zones啟用區(qū)域中的服務firewl-calmd--permanent[--zone=<zone>]--add-service=<service>此舉將永久啟用區(qū)域中的服務。如果未指定區(qū)域，將使用默認區(qū)域。禁用區(qū)域中的一種服務firewall-cmd--permanent[--zone=<zone>]--remove-service=<service>查詢區(qū)域中的服務是否啟用firewall-cmd--permanent[--zone=<zone>]--query-service=<service>富規(guī)則富規(guī)則，是一種表達性語言，就是通過“richlanguage”特性提供的一種不需要了解iptables語法的，通過高級語言配置復雜IPv4和IPv6防火墻規(guī)則的機制?？杀磉_firewalld基本語法中未涵蓋的自定義防火墻規(guī)則，可用于表達基本的允許/拒絕規(guī)則，可用于配置記錄(面向syslog和auditd)及端口轉(zhuǎn)發(fā)、偽裝和速率限制 RedHatEnterpriseLinux7提供了命令行支持的富語言特性，也提供了對于圖形界面firewall-config的支持。

通過“richlanguage”語法，可以用比直接接口方式更易理解的方法建立復雜防火墻規(guī)則，此外還能永久保留設(shè)置，這種語言可以用來配置區(qū)域，也仍然支持現(xiàn)行的配置方式，所有命令都必須以root用戶身份運行，并且任何已配置的富規(guī)則還將顯示在firewall-cmd--list-all和firewall-cmd--list-all-zones輸出中。管理富規(guī)則firewall-cmd--permanent--zone=classroom--add-rich-rule='rulefamily=ipv4sourceaddress=1/32reject'firewall-cmd--add-rich-rule='ruleservicename=ftplimitvalue=2/maccept'firewall-cmd--permanent--add-rich-rule='ruleprotocolvalue=espdrop'firewall-cmd--permanent--zone=work--add-rich-rule='ruleservicename="ssh"logprefix="ssh"level="notice"limitvalue="3/m"acceptFirewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄SELinux的基本概念SELinux(Security-EnhancedLinux)是美國國家安全局（NSA）對于強制訪問控制的實現(xiàn)，是Linux上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的任務中所需要文件SELinux的介紹SELinux是一組可確定哪個進程能訪問文件、目錄、端口等的安全規(guī)則SELinux標簽有若干上下文，最關(guān)注類型上下文SELinux的目標是保護用戶數(shù)據(jù)免受已泄露的系統(tǒng)服務的威脅SELinux模式強制模式：Enforcing許可模式：Permissive禁用模式：Disabled顯示和修改SELinux模式修改/etc/sysconfig/selinux文件顯示當前SELinux模式：getenforce修改當前SELinux模式：setenforce顯示和修改SELinux文件上下文查看進程的SELinux上下文：ps-axZ查看文件的SELinux上下文：ls-lZ修改文件的SELinux上下文：

chcon-t上下文類型文件名管理SELinux布爾值SELinux布爾值是更改SELinux策略行為的開關(guān)SELinux布爾值是可以啟用或者禁用的規(guī)則顯示布爾值：getsebool–a修改布爾值：setsebool–P類型on|off管理SELinux服務端口SELinux可以通過策略管理服務的開放端口顯示SELinux的http服務端口semanageport-l|grephttp修改SELinux的http服務端口semanageport-a-thttp_port_t-ptcp808Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄救援模式救援模式介紹安裝用啟動介質(zhì)根文件系統(tǒng)必須正常救援模式啟動救援模式密碼破解密碼破解，按e鍵進入密碼破解找到linux16開頭的行，在行尾添加rd.break關(guān)鍵字（如果是圖形界面，需要添加console=tty0）修改完成，ctrl+x保存退出掛載根分區(qū)

mount–orw,remount/sysroot改變目錄

chroot/sysroot修改密碼

passwdroot應用文件標簽

touch/.autorelabelexitexit修復引導問題修復常見啟動問題如果/etc/fstab文件故障，系統(tǒng)不能正常啟動，如下文件錯誤系統(tǒng)啟動后，錯誤提示如下除了通過中斷模式修復外，也可在該頁面直接輸入root用戶密碼，進入修復模式，如下所示Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄容器容器（Container）是一種輕量級的虛擬化技術(shù)，所謂的輕量級虛擬化，就是使用了一種操作系統(tǒng)虛擬化技術(shù)，這種技術(shù)允許一個操作系統(tǒng)上用戶空間被分割成幾個獨立的單元在內(nèi)核中運行，彼此互不干擾，這樣一個獨立的空間，就被稱之為一個容器。容器與虛擬機的區(qū)別(1)容器與虛擬機的區(qū)別(2)podman介紹

Podman是一個開源項目，可在大多數(shù)Linux平臺上使用并開源在GitHub上。Podman是一個無守護進程的容器引擎，用于在Linux系統(tǒng)上開發(fā)，管理和運行OpenContainerInitiative（OCI）容器和容器鏡像。Podman提供了一個與Docker兼容的命令行前端，它可以簡單地作為Dockercli，簡單地說你可以直接添加別名：aliasdocker=podman來使用podman。podman介紹Podman控制下的容器可以由root用戶運行，也可以由非特權(quán)用戶運行。Podman管理整個容器的生態(tài)系統(tǒng)，其包括pod，容器，容器鏡像，和使用libpodlibrary的容器卷。Podman專注于幫助您維護和修改OCI容器鏡像的所有命令和功能，例如拉取和標記。它允許您在生產(chǎn)環(huán)境中創(chuàng)建，運行和維護從這些映像創(chuàng)建的容器Podman與docker區(qū)別docker需要在我們的系統(tǒng)上運行一個守護進程（dockerdaemon），而Podman不需要啟動容器的方式不同：dockercli命令通過API跟DockerEngine(引擎)交互告訴它我想創(chuàng)建一個container，然后dockerEngine才會調(diào)用OCIcontainerruntime(runc)來啟動一個container。這代表cont