13第十三章-Linux安全管理_第1頁(yè)
13第十三章-Linux安全管理_第2頁(yè)
13第十三章-Linux安全管理_第3頁(yè)
13第十三章-Linux安全管理_第4頁(yè)
13第十三章-Linux安全管理_第5頁(yè)
已閱讀5頁(yè),還剩34頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Linux安全管理Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄Linux防火墻概述RHEL8系統(tǒng)的防火墻功能由firewalld服務(wù)實(shí)現(xiàn)firewalld服務(wù)用來(lái)管理host-level,支持動(dòng)態(tài)管理的防火墻守護(hù)進(jìn)程iptables,ip6tables用來(lái)管理low-level,支持靜態(tài)管理的防火墻守護(hù)進(jìn)程Linux防火墻概述firewall守護(hù)進(jìn)程目前具有以下功能:支持絕大多數(shù)system-config-firewall所具有的功能。實(shí)現(xiàn)動(dòng)態(tài)管理,對(duì)于規(guī)則的更改不再需要重新創(chuàng)建整個(gè)防火墻。一個(gè)簡(jiǎn)單的系統(tǒng)托盤(pán)區(qū)圖標(biāo)來(lái)顯示防火墻狀態(tài),方便開(kāi)啟和關(guān)閉防火墻。提供firewall-cmd命令行界面進(jìn)行管理及配置工作。為libvirt提供接口及界面實(shí)現(xiàn)firewall-config圖形化配置工具。實(shí)現(xiàn)系統(tǒng)全局及用戶(hù)進(jìn)程的防火墻規(guī)則配置管理。區(qū)域Zone的支持。NetworkManager防火墻規(guī)則助手防火墻概念區(qū)域:定義了網(wǎng)絡(luò)連接的可信等級(jí)。這是一個(gè)一對(duì)多的關(guān)系,這意味著一次連接可以?xún)H僅是一個(gè)區(qū)域的一部分,而一個(gè)區(qū)域可以用于很多連接。服務(wù):是端口和/或協(xié)議入口的組合。備選內(nèi)容包括netfilter助手模塊以及IPv4、IPv6地址。

端口和協(xié)議:定義了tcp或udp端口,端口可以是一個(gè)端口或者端口范圍。ICMP阻塞:可以選擇Internet控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)。偽裝:私有網(wǎng)絡(luò)地址可以被映射到公開(kāi)的IP地址。這是一次正規(guī)的地址轉(zhuǎn)換。端口轉(zhuǎn)發(fā):端口可以映射到另一個(gè)端口以及/或者其他主機(jī)防火墻區(qū)域由firewalld提供的區(qū)域按照從不信任到信任的順序排序。丟棄:任何流入網(wǎng)絡(luò)的包都被丟棄,不作出任何響應(yīng)。只允許流出的網(wǎng)絡(luò)連接。阻塞:任何進(jìn)入的網(wǎng)絡(luò)連接都被拒絕,并返回IPv4的icmp-host-prohibited報(bào)文或者IPv6的icmp6-adm-prohibited報(bào)文。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。公開(kāi)(默認(rèn)):用以可以公開(kāi)的部分。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。外部:用在路由器等啟用偽裝的外部網(wǎng)絡(luò)。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。隔離區(qū)(dmz):用以允許隔離區(qū)(dmz)中的電腦有限地被外界網(wǎng)絡(luò)訪問(wèn)。只接受被選中的連接。工作:用在工作網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。家庭:用在家庭網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。內(nèi)部:用在內(nèi)部網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。受信任的:允許所有網(wǎng)絡(luò)連接。防火墻配置配置命令:firewall-cmd配置圖形工具:firewall-config配置文件:/etc/firewalld/防火墻命令防火墻配置案例允許http服務(wù)firewall-cmd --permanent--add-service=http開(kāi)啟22端口(ssh服務(wù))firewall-cmd --permanent --add-port=22/tcp保存防火墻到配置文件中firewall-cmd --reload

--list-all 列出所有規(guī)則

--reload 保存到配置文件中

--permanent永久生效Firewall-config配置打開(kāi)firewall-config圖形界面的防火墻配置選項(xiàng)卡選擇永久區(qū)域選項(xiàng)卡中選擇work區(qū)域選擇服務(wù)子選項(xiàng)卡勾選https服務(wù)重載防火墻使之永久生效,結(jié)束配置處理永久區(qū)域--permanent:永久選項(xiàng)不直接影響運(yùn)行時(shí)的狀態(tài)。這些選項(xiàng)僅在重載或者重啟服務(wù)時(shí)可用。獲取永久選項(xiàng)所支持的服務(wù)firewall-cmd--permanent--get-services獲取永久選項(xiàng)所支持的ICMP類(lèi)型列表firewall-cmd--permanent--get-icmptypes獲取支持的永久區(qū)域firewall-cmd--permanent--get-zones啟用區(qū)域中的服務(wù)firewl-calmd--permanent[--zone=<zone>]--add-service=<service>此舉將永久啟用區(qū)域中的服務(wù)。如果未指定區(qū)域,將使用默認(rèn)區(qū)域。禁用區(qū)域中的一種服務(wù)firewall-cmd--permanent[--zone=<zone>]--remove-service=<service>查詢(xún)區(qū)域中的服務(wù)是否啟用firewall-cmd--permanent[--zone=<zone>]--query-service=<service>富規(guī)則富規(guī)則,是一種表達(dá)性語(yǔ)言,就是通過(guò)“richlanguage”特性提供的一種不需要了解iptables語(yǔ)法的,通過(guò)高級(jí)語(yǔ)言配置復(fù)雜IPv4和IPv6防火墻規(guī)則的機(jī)制??杀磉_(dá)firewalld基本語(yǔ)法中未涵蓋的自定義防火墻規(guī)則,可用于表達(dá)基本的允許/拒絕規(guī)則,可用于配置記錄(面向syslog和auditd)及端口轉(zhuǎn)發(fā)、偽裝和速率限制 RedHatEnterpriseLinux7提供了命令行支持的富語(yǔ)言特性,也提供了對(duì)于圖形界面firewall-config的支持。

通過(guò)“richlanguage”語(yǔ)法,可以用比直接接口方式更易理解的方法建立復(fù)雜防火墻規(guī)則,此外還能永久保留設(shè)置,這種語(yǔ)言可以用來(lái)配置區(qū)域,也仍然支持現(xiàn)行的配置方式,所有命令都必須以root用戶(hù)身份運(yùn)行,并且任何已配置的富規(guī)則還將顯示在firewall-cmd--list-all和firewall-cmd--list-all-zones輸出中。管理富規(guī)則firewall-cmd--permanent--zone=classroom--add-rich-rule='rulefamily=ipv4sourceaddress=1/32reject'firewall-cmd--add-rich-rule='ruleservicename=ftplimitvalue=2/maccept'firewall-cmd--permanent--add-rich-rule='ruleprotocolvalue=espdrop'firewall-cmd--permanent--zone=work--add-rich-rule='ruleservicename="ssh"logprefix="ssh"level="notice"limitvalue="3/m"acceptFirewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄SELinux的基本概念SELinux(Security-EnhancedLinux)是美國(guó)國(guó)家安全局(NSA)對(duì)于強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn),是Linux上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開(kāi)發(fā)了一種訪問(wèn)控制體系,在這種訪問(wèn)控制體系的限制下,進(jìn)程只能訪問(wèn)那些在他的任務(wù)中所需要文件SELinux的介紹SELinux是一組可確定哪個(gè)進(jìn)程能訪問(wèn)文件、目錄、端口等的安全規(guī)則SELinux標(biāo)簽有若干上下文,最關(guān)注類(lèi)型上下文SELinux的目標(biāo)是保護(hù)用戶(hù)數(shù)據(jù)免受已泄露的系統(tǒng)服務(wù)的威脅SELinux模式強(qiáng)制模式:Enforcing許可模式:Permissive禁用模式:Disabled顯示和修改SELinux模式修改/etc/sysconfig/selinux文件顯示當(dāng)前SELinux模式:getenforce修改當(dāng)前SELinux模式:setenforce顯示和修改SELinux文件上下文查看進(jìn)程的SELinux上下文:ps-axZ查看文件的SELinux上下文:ls-lZ修改文件的SELinux上下文:

chcon-t上下文類(lèi)型文件名管理SELinux布爾值SELinux布爾值是更改SELinux策略行為的開(kāi)關(guān)SELinux布爾值是可以啟用或者禁用的規(guī)則顯示布爾值:getsebool–a修改布爾值:setsebool–P類(lèi)型on|off管理SELinux服務(wù)端口SELinux可以通過(guò)策略管理服務(wù)的開(kāi)放端口顯示SELinux的http服務(wù)端口semanageport-l|grephttp修改SELinux的http服務(wù)端口semanageport-a-thttp_port_t-ptcp808Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄救援模式救援模式介紹安裝用啟動(dòng)介質(zhì)根文件系統(tǒng)必須正常救援模式啟動(dòng)救援模式密碼破解密碼破解,按e鍵進(jìn)入密碼破解找到linux16開(kāi)頭的行,在行尾添加rd.break關(guān)鍵字(如果是圖形界面,需要添加console=tty0)修改完成,ctrl+x保存退出掛載根分區(qū)

mount–orw,remount/sysroot改變目錄

chroot/sysroot修改密碼

passwdroot應(yīng)用文件標(biāo)簽

touch/.autorelabelexitexit修復(fù)引導(dǎo)問(wèn)題修復(fù)常見(jiàn)啟動(dòng)問(wèn)題如果/etc/fstab文件故障,系統(tǒng)不能正常啟動(dòng),如下文件錯(cuò)誤系統(tǒng)啟動(dòng)后,錯(cuò)誤提示如下除了通過(guò)中斷模式修復(fù)外,也可在該頁(yè)面直接輸入root用戶(hù)密碼,進(jìn)入修復(fù)模式,如下所示Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄容器容器(Container)是一種輕量級(jí)的虛擬化技術(shù),所謂的輕量級(jí)虛擬化,就是使用了一種操作系統(tǒng)虛擬化技術(shù),這種技術(shù)允許一個(gè)操作系統(tǒng)上用戶(hù)空間被分割成幾個(gè)獨(dú)立的單元在內(nèi)核中運(yùn)行,彼此互不干擾,這樣一個(gè)獨(dú)立的空間,就被稱(chēng)之為一個(gè)容器。容器與虛擬機(jī)的區(qū)別(1)容器與虛擬機(jī)的區(qū)別(2)podman介紹

Podman是一個(gè)開(kāi)源項(xiàng)目,可在大多數(shù)Linux平臺(tái)上使用并開(kāi)源在GitHub上。Podman是一個(gè)無(wú)守護(hù)進(jìn)程的容器引擎,用于在Linux系統(tǒng)上開(kāi)發(fā),管理和運(yùn)行OpenContainerInitiative(OCI)容器和容器鏡像。Podman提供了一個(gè)與Docker兼容的命令行前端,它可以簡(jiǎn)單地作為Dockercli,簡(jiǎn)單地說(shuō)你可以直接添加別名:aliasdocker=podman來(lái)使用podman。podman介紹Podman控制下的容器可以由root用戶(hù)運(yùn)行,也可以由非特權(quán)用戶(hù)運(yùn)行。Podman管理整個(gè)容器的生態(tài)系統(tǒng),其包括pod,容器,容器鏡像,和使用libpodlibrary的容器卷。Podman專(zhuān)注于幫助您維護(hù)和修改OCI容器鏡像的所有命令和功能,例如拉取和標(biāo)記。它允許您在生產(chǎn)環(huán)境中創(chuàng)建,運(yùn)行和維護(hù)從這些映像創(chuàng)建的容器Podman與docker區(qū)別docker需要在我們的系統(tǒng)上運(yùn)行一個(gè)守護(hù)進(jìn)程(dockerdaemon),而Podman不需要啟動(dòng)容器的方式不同:dockercli命令通過(guò)API跟DockerEngine(引擎)交互告訴它我想創(chuàng)建一個(gè)container,然后dockerEngine才會(huì)調(diào)用OCIcontainerruntime(runc)來(lái)啟動(dòng)一個(gè)container。這代表cont

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論