Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2 CentOS8.2）課件 項(xiàng)目8 網(wǎng)絡(luò)與安全管理

項(xiàng)目8網(wǎng)絡(luò)與安全管理主講：***2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）12024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）2本項(xiàng)目學(xué)習(xí)目標(biāo)：1.知識(shí)目標(biāo)2.能力目標(biāo)掌握網(wǎng)絡(luò)信息設(shè)置的基本概念；掌握防火墻的基本概念；掌握SELinux的基本概念；掌握Linux中日志的基本概念。能熟練使用GUI或CLI工具配置Linux的網(wǎng)絡(luò)信息；能使用firewalld工具實(shí)現(xiàn)防火墻的基本控制；能使用SELinux相關(guān)工具設(shè)定SELinux選項(xiàng)；能熟練查看系統(tǒng)日志，排查系統(tǒng)簡單的故障。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）3學(xué)習(xí)任務(wù)任務(wù)8.1網(wǎng)絡(luò)管理任務(wù)8.2防火墻管理任務(wù)8.3SELinux任務(wù)8.4日志管理2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）4任務(wù)8.1網(wǎng)絡(luò)管理在CentOS7之前，操作系統(tǒng)中的網(wǎng)絡(luò)接口名稱一般通過eth0、eth1、eth2、…、ethN的形式編號(hào)，隨著系統(tǒng)中設(shè)備的增加或減少，設(shè)置這些名稱會(huì)產(chǎn)生一些不對(duì)稱的信息。因此，從CentOS7開始，系統(tǒng)采用了新的命名規(guī)則，根據(jù)設(shè)備類型、適配器類型等為網(wǎng)絡(luò)設(shè)備命名，CentOS8也采用同樣的命名規(guī)則。8.1.1網(wǎng)絡(luò)信息區(qū)

段命名規(guī)則說

明設(shè)備類型en以太網(wǎng)wlWLANwwWWAN適配器類型o板載設(shè)備s熱插拔設(shè)備pPCI設(shè)備數(shù)字編號(hào)通用數(shù)字代表索引、ID或端口2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）5在CentOS8中，可以使用ip命令查看網(wǎng)絡(luò)的相關(guān)信息，包含設(shè)備和地址信息及網(wǎng)絡(luò)性能等方面的統(tǒng)計(jì)信息。例如，查看設(shè)備ens33的網(wǎng)絡(luò)信息，如圖所示。

表示該網(wǎng)絡(luò)設(shè)備接口的狀態(tài)為激活狀態(tài)(UP)；

link行表示該設(shè)備的硬件(MAC)地址；

inet后顯示該設(shè)備的IPv4地址和前綴；

brd后顯示該設(shè)備的硬件廣播地址；

inet6行顯示該設(shè)備的IPv6地址信息。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）68.1.2GUI的網(wǎng)絡(luò)管理工具在圖形界面下，如圖所示，單擊右上角的按鈕，在彈出的窗格中，先單擊【有線已連接】選項(xiàng)，再單擊【有線設(shè)置】選項(xiàng)，打開網(wǎng)絡(luò)配置界面，如圖8-1-4所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）7單擊【有線】下的配置按鈕，打開有線網(wǎng)絡(luò)的【詳細(xì)信息】選項(xiàng)卡，可以查看本地已經(jīng)配置的網(wǎng)絡(luò)情況，如鏈路速度、IPv4地址、硬件地址、默認(rèn)路由(Gateway)及DNS等。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）88.1.3CLI的網(wǎng)絡(luò)管理工具在命令行模式下，主要通過調(diào)整對(duì)應(yīng)網(wǎng)卡的配置文件或者使用網(wǎng)絡(luò)配置命令tui完成網(wǎng)絡(luò)配置信息的調(diào)整。1．通過配置文件調(diào)整網(wǎng)絡(luò)信息1)調(diào)整IP信息在CentOS8中，網(wǎng)卡的配置文件存放在“/etc/sysconfig/network-scripts”目錄中，進(jìn)入該目錄。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）9網(wǎng)卡配置文件2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）10網(wǎng)卡配置文件第1行，TYPE用于設(shè)置網(wǎng)卡的類型，Ethernet表示以太網(wǎng)類型；第2行，PROXY_METHOD用于設(shè)置代理類型，none表示未啟用；第3行，BROWSER_ONLY用于設(shè)置在第2行中設(shè)置的代理服務(wù)器是否僅用于瀏覽器，no表示否，表示全局可用；第4行，BOOTPROTO用于設(shè)置網(wǎng)卡獲取IP地址的方式，通?？梢栽O(shè)置為：dhcp、static、none和bootp，其中static和none用于設(shè)置手動(dòng)配置方式；2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）11網(wǎng)卡配置文件第5行，DEFROUTE用于設(shè)置默認(rèn)路由，yes是表示啟用；第6行，IPV4_FAILURE_FATAL用于設(shè)置是否開啟IPv4致命錯(cuò)誤檢測(cè)，no表示不啟用；第7行，IPV6INIT用于設(shè)置是否啟用IPv6，yes表示啟用；第8行，IPV6_AUTOCONF用于設(shè)置是否自動(dòng)化配置IPv6，yes表示是；第9行，IPV6_DEFROUTE用于設(shè)置IPV6是否為默認(rèn)路由，yes表示是；第10行，IPV6_FAILURE_FATAL用于設(shè)置是否啟用IPv6致命錯(cuò)誤檢測(cè)，no表示不啟用；2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）12網(wǎng)卡配置文件第11行，IPV6_ADDR_GEN_MODE用于設(shè)置IPv6地址的生成方式，通常在CentOS8中，IPv6地址基于RFC4826實(shí)現(xiàn)無狀態(tài)地址自動(dòng)配置，其值可以設(shè)置為eui64或stable-privacy，當(dāng)IPv6地址的生成方式被設(shè)置為eui64時(shí)，系統(tǒng)將使用從硬件地址派生的接口令牌生成地址。這種方式可以讓生成的IPv6地址中的主機(jī)部分保持不變，從而可以在主機(jī)更改網(wǎng)絡(luò)時(shí)進(jìn)行跟蹤，當(dāng)接口硬件被替換時(shí)，地址會(huì)發(fā)生改變。當(dāng)IPv6地址生成方式被設(shè)置為stable-privacy時(shí)，可以根據(jù)RFC7217中的定義，使用Hash加密的方式生成特定密鑰，這種方式在更換網(wǎng)絡(luò)接口硬件時(shí)，也可以獲得一個(gè)相對(duì)穩(wěn)定的網(wǎng)絡(luò)地址，且這種方式可以避免主機(jī)在網(wǎng)絡(luò)中被跟蹤，具體的IPv6生成的方式可以查閱manpage中的“man5nm-settings”；2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）13網(wǎng)卡配置文件第12行，NAME用于定義網(wǎng)卡設(shè)備的名稱，通常與第14行對(duì)應(yīng)；第13行，UUID用于設(shè)置識(shí)別碼；第14行，DEVICE用于定義配置文件對(duì)應(yīng)的物理網(wǎng)卡設(shè)備名稱；第15行，ONBOOT用于設(shè)置在開機(jī)時(shí)是否激活網(wǎng)卡，yes表示自動(dòng)激活；第16行，IPDDR用于設(shè)置IPv4地址，這里設(shè)置為02；第17行，PREFIX用于設(shè)置子網(wǎng)掩碼，這里設(shè)置24位的子網(wǎng)掩碼；第18行，GATEWAY用于設(shè)置網(wǎng)關(guān)，這里設(shè)置為54；2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）14網(wǎng)卡配置文件第19行，DNS1用于為本機(jī)設(shè)置DNS解析服務(wù)的地址，可以通過DNS2、DNS3等方式為主機(jī)指定多個(gè)DNS；第20行，IPV6_PRIVACY用于設(shè)置是否在無狀態(tài)地址自動(dòng)配置時(shí)啟用IPv6的擴(kuò)展隱私策略(RFC4941)，no表示不啟用。上述配置文件，在不需要使用IPv6網(wǎng)絡(luò)時(shí)，可以做適當(dāng)精簡，精簡后的配置文件如圖所示，即適用于IPv4網(wǎng)絡(luò)的網(wǎng)卡配置文件。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）152)調(diào)整主機(jī)名在CentOS8中，主機(jī)名可分為靜態(tài)(static)、臨時(shí)(transient)、優(yōu)雅(pretty)3種形式，通常靜態(tài)和臨時(shí)主機(jī)名都有一定的規(guī)范，而優(yōu)雅主機(jī)名則可以使用非規(guī)范的空格、特殊字符等。靜態(tài)主機(jī)名：系統(tǒng)啟動(dòng)時(shí)永久生效的主機(jī)名，通常用于配置內(nèi)核參數(shù)信息，默認(rèn)存儲(chǔ)在“/etc/hostname”中，還可通過在網(wǎng)卡配置文件中定義“HOSTNAME”選項(xiàng)來設(shè)置對(duì)應(yīng)的主機(jī)名。臨時(shí)主機(jī)名：當(dāng)靜態(tài)主機(jī)名無法獲取或失效時(shí)，臨時(shí)主機(jī)名默認(rèn)會(huì)被設(shè)置為localhost和localhost.localdomain。優(yōu)雅主機(jī)名：對(duì)字符幾乎沒有限制，可以設(shè)置任意。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）162．通過nmtui命令調(diào)整網(wǎng)絡(luò)信息在終端執(zhí)行“nmtui”命令啟動(dòng)文本界面形式的網(wǎng)絡(luò)配置工具，如圖8-1-14所示。通過上下方向鍵或【Tab】鍵進(jìn)行跳轉(zhuǎn)，可選擇需要調(diào)整配置的選項(xiàng)，然后按【Enter】鍵進(jìn)入配置。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）17任務(wù)8.2防火墻管理Linux內(nèi)核中包含Netfilter框架，Netfilter是RHEL8防火墻的主要組件，用于實(shí)現(xiàn)數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和端口轉(zhuǎn)換等網(wǎng)絡(luò)操作。Netfilter允許其他內(nèi)核模塊直接與內(nèi)核的網(wǎng)絡(luò)堆棧接口連接，利用防火墻軟件定義的過濾規(guī)則，在內(nèi)核中通過調(diào)用鉤子函數(shù)(Hook)和消息處理程序?qū)崿F(xiàn)攔截和轉(zhuǎn)發(fā)等操作。8.2.1防火墻概述2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）18FirewallD是由RedHat開發(fā)的一個(gè)動(dòng)態(tài)防火墻管理工具，早期的FirewallD是傳統(tǒng)iptables服務(wù)的改進(jìn)替代方案，隨著各類新的GNU/Linux發(fā)行版本中的防火墻后端引擎逐步從iptables向nftables遷移，nftables取代iptables成為默認(rèn)的Linux網(wǎng)絡(luò)包過濾框架。FirewallD是nftables框架的默認(rèn)前端，提供了防火墻區(qū)域定義、網(wǎng)絡(luò)鏈接及接口安全等級(jí)定義等功能。從CentOS7開始，系統(tǒng)默認(rèn)啟用FirewallD管理防火墻，防火墻前端通過firewall-cmd命令控制nftables規(guī)則集。通過FirewallD，用戶可以將進(jìn)入系統(tǒng)的所有網(wǎng)絡(luò)流量分為多個(gè)區(qū)域，從而簡化防火墻管理。根據(jù)數(shù)據(jù)源的IP地址或傳入的網(wǎng)絡(luò)接口等條件，流量將被轉(zhuǎn)入相應(yīng)區(qū)域按規(guī)則處理。每個(gè)區(qū)域都有自己的端口和服務(wù)列表，它們處于打開或者關(guān)閉狀態(tài)。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）19Firewalld針對(duì)每個(gè)進(jìn)入系統(tǒng)的數(shù)據(jù)包，通常采用以下處理流程：首先檢查數(shù)據(jù)包的源地址，若該源地址被分配給了特定區(qū)域，則FirewallD應(yīng)用該區(qū)域的規(guī)則，若該源地址未被分配給某個(gè)區(qū)域，則FirewallD會(huì)檢查數(shù)據(jù)包傳入的網(wǎng)絡(luò)接口，檢查與傳入的網(wǎng)絡(luò)接口關(guān)聯(lián)的區(qū)域規(guī)則，若網(wǎng)絡(luò)接口未與區(qū)域關(guān)聯(lián)，則其會(huì)將數(shù)據(jù)包與默認(rèn)區(qū)域相關(guān)聯(lián)，應(yīng)用默認(rèn)區(qū)域的規(guī)則進(jìn)行處理。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）201．FirewallD區(qū)域網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級(jí)。防火墻中預(yù)定義了一部分區(qū)域，在默認(rèn)情況下，如果傳入流量屬于系統(tǒng)啟動(dòng)的通信的一部分，那么所有區(qū)域都允許這些傳入流量和全部傳出流量，常用的預(yù)定義區(qū)域如表所示，其他預(yù)定義的區(qū)域可以通過使用“man”命令查閱firewalld.zone(5)手冊(cè)來獲取。區(qū)域名稱默認(rèn)配置trusted可信區(qū)域，允許所有數(shù)據(jù)包進(jìn)出home家庭區(qū)域，默認(rèn)拒絕所有傳入數(shù)據(jù)包，但是允許數(shù)據(jù)包傳出和預(yù)定義的服務(wù)(SSH、mDNS、samba-client、IPPClient或DHCPv6Client)internal與home區(qū)域類似work工作區(qū)域，默認(rèn)拒絕所有傳入數(shù)據(jù)包，但是允許數(shù)據(jù)包傳出或預(yù)定義的服務(wù)(SSH、IPPClient或DHCPv6Client)。public公共區(qū)域，默認(rèn)拒絕所有傳入數(shù)據(jù)包，但是允許數(shù)據(jù)包傳出或預(yù)定義的服務(wù)(SSH或dhcpv6-clinet)，新增加的網(wǎng)卡默認(rèn)加入該區(qū)域external擴(kuò)展區(qū)域，默認(rèn)拒絕所有傳入數(shù)據(jù)包，但是允許數(shù)據(jù)包傳出或預(yù)定義的服務(wù)(SSH)。會(huì)對(duì)通過此區(qū)域轉(zhuǎn)發(fā)的IPv4流量進(jìn)行偽裝，將數(shù)據(jù)包映射為與該區(qū)域綁定的網(wǎng)絡(luò)IPdmz非軍事區(qū)，默認(rèn)拒絕所有傳入數(shù)據(jù)包，但是允許數(shù)據(jù)包傳出或預(yù)定義的服務(wù)(SSH)block阻塞區(qū)域，在該區(qū)域中，允許傳出的數(shù)據(jù)，將默認(rèn)阻塞所有傳入的數(shù)據(jù)包drop丟棄區(qū)域，在該區(qū)域中，允許數(shù)據(jù)包傳出，丟棄傳入的數(shù)據(jù)包(不響應(yīng)ICMP錯(cuò)誤)2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）212．預(yù)定義服務(wù)FirewallD預(yù)定義了一些服務(wù)，這些定義可以識(shí)別需要配置的特定網(wǎng)絡(luò)服務(wù)，如表所示。服務(wù)名稱配

置SSHLinux服務(wù)器本地的SSH服務(wù)，對(duì)應(yīng)22/TCP的流量mDNS多播DNS名稱解析服務(wù)，對(duì)應(yīng)5353/UDP端口，指向51(IPv4)或ff02::fb(IPv6)的流量samba-client基于SMB協(xié)議的本地文件共享和打印機(jī)共享服務(wù)，對(duì)應(yīng)137/UDP和138/UDP的流量IPPClient本地IPP打印服務(wù)，對(duì)應(yīng)631/UDP的流量DHCPv6Client本地DHCPv6客戶端，對(duì)應(yīng)546/UDP端口，指向fe80::/64的IPv6網(wǎng)絡(luò)的流量2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）223．?dāng)?shù)據(jù)包處理針對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)包，F(xiàn)irewallD根據(jù)匹配規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理，除允許傳入與傳出之外，F(xiàn)irewallD還有的其他處理規(guī)則如表所示。處理規(guī)則說

明丟棄丟棄任何傳入網(wǎng)絡(luò)的數(shù)據(jù)包都，不做任何ICMP響應(yīng)阻塞拒絕任何傳入的網(wǎng)絡(luò)連接，并返回IPv4的icmp-host-prohibited報(bào)文或IPv6的icmp6-adm-prohibited報(bào)文偽裝私有網(wǎng)絡(luò)地址可以被映射為公開的IP地址端口轉(zhuǎn)發(fā)將某個(gè)端口映射到另一個(gè)端口和/或其他主機(jī)。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）238.2.2配置防火墻在CentOS8中，如果需要調(diào)整防火墻的配置，可以通過編輯配置文件、Web控制臺(tái)進(jìn)行，也可以使用firewall-cmd命令與FirewallD交互。當(dāng)前，多數(shù)Linux服務(wù)器使用非圖形界面，因此，管理員更傾向于使用firewall-cmd命令進(jìn)行配置。2024年1月2日24Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）命

令說

明--state返回防火墻的運(yùn)行狀態(tài)，“running”或者“notrunning”--get-default-zone查詢當(dāng)前的默認(rèn)區(qū)域--set-default-zone=ZONE設(shè)置默認(rèn)區(qū)域，設(shè)置默認(rèn)區(qū)域時(shí)會(huì)同時(shí)改變運(yùn)行時(shí)配置和永久配置--get-zones列出所有區(qū)域，僅列出區(qū)域的名稱--list-all-zones列出檢索到的所有區(qū)域的所有信息，包括接口、源、端口和服務(wù)等內(nèi)容--list-all[--zone=ZONE]列出指定ZONE區(qū)域的所有信息，若未指定“--zone”選項(xiàng)，則表示輸出默認(rèn)區(qū)域的信息--list-services[--zone=ZONE]列出指定區(qū)域的所有服務(wù)，若未指定“--zone”選項(xiàng)，則表示輸出默認(rèn)區(qū)域的服務(wù)信息--list-ports[--zone=ZONE]列出指定區(qū)域的所有端口信息，輸出時(shí)會(huì)忽略預(yù)定義的端口信息，僅輸出用戶自定義的端口信息，若未指定“--zone”選項(xiàng)，則表示輸出默認(rèn)區(qū)域的端口信息--get-active-zones列出當(dāng)前所有正在使用的區(qū)域及其接口和源信息--add-source=CIDR[--zone=ZONE]使用CIDR的方式(如9/24)，將指定的IP地址或網(wǎng)絡(luò)段的所有流量的路由到指定區(qū)域，即由指定區(qū)域的規(guī)則進(jìn)行處理，若未指定“--zone”選項(xiàng)，則表示添加到默認(rèn)區(qū)域。--remove-source=CIDR[--zone=ZONE]與上一個(gè)命令類似，作用相反，用于刪除。若未指定“--zone”選項(xiàng)，則刪除默認(rèn)區(qū)域中的源--add-interface=INTERFACE[--zone=ZONE]與“—add-source”類似，將來自INTERFACE的所有流量路由到指定區(qū)域，若未指定“--zone”選項(xiàng)，則使用默認(rèn)區(qū)域。--change-interface=INTERFACE[--zone=ZONE]將INTERFACE和指定的ZONE區(qū)域關(guān)聯(lián)，若未指定“--zone”選項(xiàng)，則將其與默認(rèn)區(qū)域關(guān)聯(lián)--add-service=SERVICE[--zone=ZONE]添加指定的服務(wù)(如FTP、http或httpS等)，允許對(duì)應(yīng)規(guī)則的流量通過防火墻。若未指定“--zone”，則使用默認(rèn)區(qū)域。--remove-service=SERVICE[--zone=ZONE]與上一個(gè)添加服務(wù)的命令類似，作用相反，用于刪除指定的服務(wù)--add-port=PORT/PROTOCOL[--zone=ZONE]添加指定的PORT/PROTOCOL規(guī)則，開放相應(yīng)端口及對(duì)應(yīng)協(xié)議的流量，若未指定“--zone”，則使用默認(rèn)區(qū)域。其中PORT可以是連續(xù)的,PROTOCOL表示TCP或UDP，如5000-6000/TCP--remove-port=PORT/PROTOCOL[--zone=ZONE]與上一個(gè)添加端口的命令類似，作用相反，用于刪除指定的端口--reload重新加載配置，在執(zhí)行reload前，如果防火墻的規(guī)則集中有運(yùn)行時(shí)狀態(tài)的內(nèi)容將全部丟棄，重新加載并應(yīng)用永久配置--permanent設(shè)置將規(guī)則作為永久配置存儲(chǔ)2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）25在FirewallD中，運(yùn)行規(guī)則分為運(yùn)行時(shí)規(guī)則和永久規(guī)則兩種類型，當(dāng)通過firewall-cmd命令配置新規(guī)則時(shí)，若添加“--permanent”選項(xiàng)，則新規(guī)則將僅作用于運(yùn)行時(shí)，對(duì)區(qū)域進(jìn)行的修改立即生效，但該規(guī)則不是永久的，在重新加載防火墻規(guī)則(--reload)或重啟服務(wù)器后將失效；若指定“--permanent”選項(xiàng)，則可以將新規(guī)則設(shè)置為永久規(guī)則，將相關(guān)的配置信息存放在“/etc/firrewalld”目錄中，設(shè)置為永久規(guī)則的防火墻規(guī)則不會(huì)立即生效，需要在重新加載防火墻或重啟服務(wù)器后才能生效。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）26在一些業(yè)務(wù)系統(tǒng)中，隨著應(yīng)用場(chǎng)景的變化，我們需要永久地保存一個(gè)新的規(guī)則，同時(shí)還需要讓這個(gè)規(guī)則立即生效，并且避免因重新加載或重啟服務(wù)器而改變系統(tǒng)當(dāng)前防火墻的運(yùn)行狀態(tài)，這時(shí)可以通過添加兩次規(guī)則實(shí)現(xiàn)，將其中的一次的選項(xiàng)設(shè)置為“--permanent”，即可避免重新加載或重啟服務(wù)器操作，也可以讓規(guī)則立即生效。在CentOS8中，默認(rèn)不開放21號(hào)端口。因此，如果需要提供FTP服務(wù)，在安裝vsftpd軟件后，需要使用firewall-cmd命令在指定區(qū)域開啟服務(wù)或相應(yīng)端口的訪問功能，如圖所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）27第一條命令，用于檢查防火墻是否啟動(dòng)，“running”表示防火墻正在運(yùn)行；第二條命令，用于獲取默認(rèn)區(qū)域的信息，通常默認(rèn)的區(qū)域?yàn)椤皃ublic”；第三條命令，用于指定輸出默認(rèn)區(qū)域中已經(jīng)開放的服務(wù)，可以發(fā)現(xiàn)SSH等服務(wù)已經(jīng)被開啟；第四條命令，用于在默認(rèn)區(qū)域中增加FTP服務(wù)，“success”表示添加成功；第五條命令，用于檢查FTP服務(wù)是否已經(jīng)被添加到指定區(qū)域，從輸出的結(jié)果可以看出，F(xiàn)TP服務(wù)已經(jīng)被添加到默認(rèn)區(qū)域中，但在添加FTP訪問功能時(shí)，新規(guī)則未被設(shè)置為永久規(guī)則，重啟后規(guī)則將失效，若要永久將其添加到防火墻的規(guī)則中，則應(yīng)使用“--permanent”選項(xiàng)，然后執(zhí)行重新加載操作。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）28通常，在CentOS8中，使用VSFTP軟件提供FTP服務(wù)時(shí)，該軟件默認(rèn)以主動(dòng)模式對(duì)外提供服務(wù)(PORT)，未開啟被動(dòng)模式(PASV)。但是Filezilla、Chrome、Firefox等許多FTP客戶端工具都采用被動(dòng)模式訪問FTP服務(wù)。因此，默認(rèn)安裝并開啟vsftpd軟件，并且在防火墻中開放FTP服務(wù)訪問功能后，這些工具仍然無法正常使用FTP服務(wù)。這時(shí)，可以通過調(diào)整FTP服務(wù)的配置文件，為其增加被動(dòng)訪問功能，并開啟部分可用的端口(建議1024號(hào)以后的端口)給FTP。被動(dòng)模式的具體配置方法可查閱相關(guān)manpage進(jìn)行學(xué)習(xí)。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）29例如，永久性開放10000-11000之間的TCP端口，為FTP服務(wù)的被動(dòng)模式提供訪問文件共享功能，如圖所示。在完成防火墻的配置后，也可以檢查配置開放的端口情況，例如，在完成上述添加10000-11000端口后，可以使用firewall-cmd命令列出公共區(qū)域的開放端口，如圖所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）30任務(wù)8.3SELinux在各類Linux中，多數(shù)管理員都很熟悉基于用戶和權(quán)限管理的安全模型，這種傳統(tǒng)的安全模型是采用基于賬戶信息和文件權(quán)限的訪問控制模型，稱為自主式存取控制(DiscretionaryAccessControl，DAC)模型，在Linux中，DAC存在一定的缺陷，例如，因root用戶的特殊性，許多DAC規(guī)則對(duì)root用戶無效，同時(shí)如果某些權(quán)限設(shè)置錯(cuò)誤，那么也會(huì)導(dǎo)致嚴(yán)重的后果，例如，某個(gè)目錄的權(quán)限如果被設(shè)置為777，那么該目錄將開放給所有用戶，所有用戶對(duì)該目錄中的內(nèi)容都可以執(zhí)行讀/寫、刪除等操作。8.3.1SELinux概述2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）31安全增強(qiáng)型Linux(SecurityEnhancedLinux，SELinux)，是一個(gè)額外的系統(tǒng)安全層，它的主要目標(biāo)是采用基于對(duì)象的處理方式，通過制定更加復(fù)雜的控制策略，實(shí)現(xiàn)強(qiáng)訪問控制(MandatoryAccessControl，MAC)，在權(quán)限控制的粒度方面，比傳統(tǒng)的DAC更加精確。通常，SELinux會(huì)為Linux中的每個(gè)文件、目錄、進(jìn)程及網(wǎng)絡(luò)端口等資源設(shè)置一個(gè)專門的安全標(biāo)簽(SecurityLabel)，這個(gè)標(biāo)簽也稱為SELinux上下文(SELinuxCentext)。標(biāo)簽是一個(gè)名稱，SELinux策略使用這些標(biāo)簽確定某個(gè)進(jìn)程能否訪問文件、目錄或網(wǎng)絡(luò)端口等資源。在訪問控制方面，除非在策略中顯式地授予訪問權(quán)限，其他任何情況都會(huì)拒絕訪問。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）32SELinux的標(biāo)簽具有多種標(biāo)簽，以Apache提供的http服務(wù)為例，該服務(wù)默認(rèn)存放網(wǎng)頁的路徑為“/var/www/html”，進(jìn)入網(wǎng)頁存放目錄，執(zhí)行“l(fā)s-Z”命令，如圖所示。圖中的內(nèi)容，除最后一部分“index.html”為文件名外，前面的內(nèi)容用冒號(hào)“:”分割，分為4段，每段代表的含義如下：(1)第一段，“unconfined_u”表示SELinux的用戶；(2)第二段，“object_r”表示角色；(3)第三段，“httpd_sys_content_t”表示類型標(biāo)簽；(4)第四段，“s0”表示敏感度。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）331．SELinux的3種狀態(tài)強(qiáng)制狀態(tài)(Enforcing)：CentOS8中默認(rèn)的狀態(tài)，SELinux強(qiáng)制執(zhí)行訪問控制策略。許可狀態(tài)(Permissive)：SELinux處于活動(dòng)狀態(tài)，僅記錄違反規(guī)則的警告信息，不強(qiáng)制執(zhí)行訪問控制策略，主要用于測(cè)試新部署的應(yīng)用程序，查看將策略應(yīng)用到這些程序會(huì)產(chǎn)生什么影響；或者用于進(jìn)行相應(yīng)的故障診斷，解決當(dāng)前一些特定服務(wù)或應(yīng)用程序不能正常工作的原因。禁用狀態(tài)(Disabled)：完全關(guān)閉SELinux，不執(zhí)行任何訪問控制策略，也不記錄相應(yīng)的警告信息。在關(guān)閉狀態(tài)，系統(tǒng)中的訪問控制方式恢復(fù)為DAC控制方式。需要注意的是，在禁用SELinux之前，需要考慮是否可能會(huì)在系統(tǒng)上再次使用SELinux，如果決定以后將其設(shè)置為Enforcing或Permissive狀態(tài)，當(dāng)下次重啟系統(tǒng)時(shí)，系統(tǒng)將會(huì)花費(fèi)一定的時(shí)間對(duì)系統(tǒng)中的所有文件、目錄和進(jìn)程等資源重新打上標(biāo)簽。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）342．SELinux的類型在CentOS8中，SELinux的默認(rèn)策略分為3類。針對(duì)性保護(hù)策略(Targeted)，Targeted策略主要對(duì)系統(tǒng)中的服務(wù)進(jìn)程進(jìn)行訪問控制，也可以限制其他進(jìn)程和用戶。服務(wù)進(jìn)程都被放入沙箱(Sandbox)中，在沙箱環(huán)境中服務(wù)進(jìn)程會(huì)被嚴(yán)格限制，以便使通過此類進(jìn)程所引發(fā)的惡意攻擊不會(huì)影響到其他服務(wù)或危及Linux。通過使用Targeted策略，可以降低因訪問特定服務(wù)(如Web服務(wù)、文件共享服務(wù)等服務(wù))而對(duì)系統(tǒng)中其他資源造成不利影響的風(fēng)險(xiǎn)。最小限制策略(Minimum)，Minimum策略與Targeted策略類似，它們都制定一個(gè)基本的策略規(guī)則包，以防止系統(tǒng)執(zhí)行訪問控制策略時(shí)消耗過多系統(tǒng)資源，其針對(duì)的是智能設(shè)備、物聯(lián)網(wǎng)設(shè)備及低配置的計(jì)算機(jī)等應(yīng)用環(huán)境。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）35多級(jí)安全策略(MLS)，MLS策略(Multi-LevelSecurity，MLS)采用更加嚴(yán)格的限制規(guī)則，會(huì)對(duì)系統(tǒng)中的所有進(jìn)程進(jìn)行控制。例如，在啟用MLS策略后，執(zhí)行最簡單的“l(fā)s”等命令時(shí)都會(huì)報(bào)錯(cuò)。因此，在將策略調(diào)整為MLS前，需要提前為MLS策略設(shè)計(jì)一個(gè)規(guī)則集，進(jìn)行定義調(diào)整，否則容易導(dǎo)致系統(tǒng)故障，無法正常啟動(dòng)系統(tǒng)。例如，將策略設(shè)置為MLS后，重啟服務(wù)器，將提示如圖所示的信息。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）361．查看和調(diào)整SELinux的模式在命令行模式下，SELinux提供了相應(yīng)的工具集，使用戶可以通過執(zhí)行g(shù)etenforce和setenforce命令查看或調(diào)整SELinux的狀態(tài)，如圖所示。其中setenforce命令的值可以設(shè)置為0或者1，0表示設(shè)置為Permissive模式，1表示設(shè)置為Enforcing模式。通過setenforce命令在命令行中修改的模式重啟后將失效，因此如果需要永久地調(diào)整SELinux的模式，可以通過修改“/etc/selinux/config”中的配置實(shí)現(xiàn)。8.3.2SELinux的基本操作2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）372．更改SELinux的標(biāo)簽在運(yùn)行SELinux的系統(tǒng)中，所有的文件、目錄和進(jìn)程都會(huì)有相應(yīng)的標(biāo)簽。標(biāo)簽代表了SELinux相關(guān)的安全信息。在系統(tǒng)中新創(chuàng)建的文件或目錄會(huì)默認(rèn)繼承其父目錄的SELinux標(biāo)簽，從而確保標(biāo)簽的承接關(guān)系。但是當(dāng)需要復(fù)制或移動(dòng)這些文件或目錄時(shí)，會(huì)破壞這種關(guān)系，如圖所示，在“/tmp”目錄下創(chuàng)建“file-1.html”和“file-2.html”，分別將其移動(dòng)和復(fù)制到“/var/www/html”目錄中，其SELinux的標(biāo)簽會(huì)有所不同。從圖中可以發(fā)現(xiàn)，“mv”命令可以保留原始的SELinux標(biāo)簽，當(dāng)時(shí)使用“cp”命令復(fù)制文件時(shí)，會(huì)自動(dòng)適配目標(biāo)目錄的SELinux標(biāo)簽，如果需要保留原始的SELinux標(biāo)簽，則需要在執(zhí)行“cp”命令使用“-a”選項(xiàng)，用于保留原始的SELinux標(biāo)簽。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）38如果在系統(tǒng)中需要更改指定文件或目錄的SELinux標(biāo)簽，可以通過兩種方式完成。一種簡單的方式是使用“chcon”命令指定對(duì)應(yīng)的SELinux標(biāo)簽。另一種方式是通過“semange”命令和“restorecon”命令組合實(shí)現(xiàn)，在系統(tǒng)中定義默認(rèn)的文件標(biāo)簽規(guī)則。選

項(xiàng)功能說明-l或--list列出指定對(duì)象的類型記錄-a或--add添加指定對(duì)象類型的記錄-d或--delete刪除指定對(duì)象類型的記錄2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）39在CentOS8等采用了SELinux策略的系統(tǒng)中，其相應(yīng)的SELinux策略行為都是通過許多的SELinux布爾值進(jìn)行定義的。這些布爾值對(duì)應(yīng)SELinux的安全策略，用于控制系統(tǒng)中的各類行為，管理員可以根據(jù)業(yè)務(wù)及應(yīng)用場(chǎng)景的需求情況，有選擇地調(diào)整這些SELinux布爾值。在進(jìn)行設(shè)置時(shí)，數(shù)字1和“on”表示啟用，數(shù)字0和“off”表示禁用。通常，在查看或調(diào)整SELinux策略的布爾值時(shí)，主要使用“sebool”命令，其中“getsebool”命令用于列出指定的布爾值及其狀態(tài)值(0|1)，“setsebool”命令用于修改布爾值。8.3.3調(diào)整SELinux的策略2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）401．查詢布爾值“getsebool”命令用于查詢指定SELinux布爾值的設(shè)置情況，可以使用“-a”選項(xiàng)一次性輸出所有的布爾值設(shè)置情況。在排除SELinux的故障時(shí)，可以組合“grep”命令，一次性查詢系統(tǒng)與某個(gè)關(guān)鍵字關(guān)聯(lián)的SELinux布爾值情況。2．調(diào)整布爾值setsebool命令用于調(diào)整SELinux策略的布爾值，在執(zhí)行setsebool命令時(shí)，若不使用任何選項(xiàng)，則表示該調(diào)整僅臨時(shí)有效，當(dāng)系統(tǒng)重啟后，該設(shè)置失效，恢復(fù)為默認(rèn)狀態(tài)；若要永久地更改布爾值，需要使用“setsebool-P”命令。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）41SELinux除具有文件和進(jìn)程的管理功能外，還可以通過對(duì)網(wǎng)絡(luò)端口進(jìn)行標(biāo)記綁定的方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)端口的額外管理功能。其采用更有針對(duì)性的規(guī)則，實(shí)現(xiàn)嚴(yán)格的網(wǎng)絡(luò)流量控制，當(dāng)某個(gè)進(jìn)程希望偵聽端口時(shí)，SELinux會(huì)檢查與該進(jìn)程關(guān)聯(lián)的標(biāo)簽是否已經(jīng)綁定到這個(gè)端口上，通過這些規(guī)則，可以阻止惡意程序(進(jìn)程或服務(wù))控制其他合法程序(進(jìn)程或服務(wù))使用的端口，提高系統(tǒng)整體的安全性。8.3.4管理SELinux端口標(biāo)簽2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）42SELinux為網(wǎng)絡(luò)服務(wù)提供了許多不同的標(biāo)簽，以對(duì)不同服務(wù)進(jìn)行控制。例如，22號(hào)端口對(duì)應(yīng)SSH訪問功能，提供了關(guān)聯(lián)的“SSH_port_t”標(biāo)簽；20號(hào)端口對(duì)應(yīng)FTP的數(shù)據(jù)傳輸功能，提供了關(guān)聯(lián)的“FTP_data_port_t”標(biāo)簽；21號(hào)端口對(duì)應(yīng)FTP的控制功能端口，提供了關(guān)聯(lián)的“FTP_port_t”標(biāo)簽；80號(hào)端口對(duì)應(yīng)http服務(wù)，提供了關(guān)聯(lián)的“http_port_t”標(biāo)簽。使用“semanageport”命令可以管理SELinux的端口標(biāo)簽，可以實(shí)現(xiàn)端口標(biāo)簽的查詢、添加、刪除、修改等操作。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）431．查詢端口標(biāo)簽使用“semanageport”命令的“-l”選項(xiàng)可以列出系統(tǒng)中已經(jīng)定義的SELinux端口標(biāo)簽，該選項(xiàng)一次性輸出所有定義的端口標(biāo)簽情況，如圖所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）442．添加端口標(biāo)簽在Linux中，為了避免一些特殊的服務(wù)被惡意用戶嗅探，在根據(jù)實(shí)際業(yè)務(wù)需求調(diào)整某些服務(wù)的偵聽模式時(shí)，都需要調(diào)整默認(rèn)的端口，通過非通用端口對(duì)外提供訪問服務(wù)。在CentOS8中，使用“semanageport”命令的“-a”選項(xiàng)添加新的端口標(biāo)簽，使用“-t”選項(xiàng)指定端口綁定的標(biāo)簽類型，使用“-p”選項(xiàng)指定端口使用的協(xié)議。例如，添加SSH服務(wù)的2200端口標(biāo)簽，如圖所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）453．刪除端口標(biāo)簽刪除SELinux端口標(biāo)簽的操作方式與添加的操作類似，使用“-d”選項(xiàng)，執(zhí)行刪除操作，如圖所示，刪除前面添加的SSH服務(wù)的2200端口標(biāo)簽。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）464．修改端口標(biāo)簽在CentOS8中，當(dāng)業(yè)務(wù)需求發(fā)生變化時(shí)，可以修改SELinux的端口標(biāo)簽，使用“semanageport”命令的“-m”選項(xiàng)調(diào)整端口標(biāo)簽。例如，將綁定http服務(wù)的8800端口標(biāo)簽調(diào)整為綁定SSH服務(wù)的SELinux端口標(biāo)簽，如圖所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）47任務(wù)8.4日志管理在CentOS及其他許多的Linux發(fā)行版本中都內(nèi)置了采用syslog協(xié)議的標(biāo)準(zhǔn)日志系統(tǒng)，其將操作系統(tǒng)的內(nèi)核及各類進(jìn)程產(chǎn)生的事件記錄下來，并通過合理的方式將產(chǎn)生的日志條目進(jìn)行歸檔和記錄，存放在指定的日志中。這些日志通?？捎糜谙到y(tǒng)安全審計(jì)、服務(wù)故障診斷及排除等。在CentOS8中，日志由兩個(gè)服務(wù)負(fù)責(zé)，分別為systemd-journald和rsyslog。8.4.1日志概述2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）481．systemd-journald服務(wù)systemd-journald服務(wù)作為操作系統(tǒng)日志系統(tǒng)的核心架構(gòu)，提供一種改進(jìn)的日志管理服務(wù)，可以收集內(nèi)核事件、操作系統(tǒng)早期啟動(dòng)階段的記錄、其他進(jìn)程及服務(wù)在啟動(dòng)和運(yùn)行時(shí)的標(biāo)準(zhǔn)輸出和標(biāo)準(zhǔn)錯(cuò)誤輸出，以及syslog日志服務(wù)在運(yùn)行期間的產(chǎn)生的日志。systemd-journald服務(wù)收集到這些信息后，會(huì)將它們轉(zhuǎn)換為標(biāo)準(zhǔn)日志格式，寫入結(jié)構(gòu)化、可索引的日志系統(tǒng)中，這些日志將被寫入到臨時(shí)存儲(chǔ)的文件中，重啟后將失效。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）492．rsyslog服務(wù)為解決system-journald服務(wù)產(chǎn)生的日志記錄在重啟后失效的問題，rsyslog服務(wù)允許用戶根據(jù)需要自定義處理日志的流程，根據(jù)服務(wù)的配置情況及時(shí)接收system-journald產(chǎn)生的日志，并按指定的要求處理日志，將其記錄到日志中，或者根據(jù)配置要求轉(zhuǎn)發(fā)給其他程序處理。rsyslog服務(wù)可以通過讀取system-journald產(chǎn)生的日志，按照日志的類型、功能和優(yōu)先級(jí)對(duì)其進(jìn)行重新分類、排序，然后將其永久地存儲(chǔ)在“/var/log”目錄中，常見的日志如表所示。2024年1月2日50Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）日志文件存儲(chǔ)信息/var/log/mesessages除與授權(quán)認(rèn)證、郵件處理、周期性任務(wù)和調(diào)試相關(guān)的信息之外，系統(tǒng)中多數(shù)服務(wù)和進(jìn)程產(chǎn)生的日志都默認(rèn)會(huì)存儲(chǔ)在這個(gè)文件中/var/log/audit/*記錄與審計(jì)相關(guān)的事件/var/log/secure記錄與安全和授權(quán)認(rèn)證相關(guān)的事件/var/log/maillog記錄與郵件服務(wù)器相關(guān)的事件/var/log/cron記錄與周期性任務(wù)有關(guān)的事件/var/log/xferlog記錄與vsftpd產(chǎn)生的FTP服務(wù)訪問相關(guān)的事件/var/log/httpd/*記錄與Apache產(chǎn)生的http服務(wù)訪問相關(guān)的事件/var/log/mariadb/*記錄與MariaDB數(shù)據(jù)庫相關(guān)的相關(guān)事件2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）518.4.2查看日志1．記錄日志通常，日志有許多種類，根據(jù)不同的關(guān)鍵字，其可以分為kern，auth，authpriv，cron，mail等。其中，mail日志表示記錄的所有syslog協(xié)議下的郵件程序的日志，其他類型的定義可以通過“man5rsyslog.conf”命令查閱。日志的優(yōu)先級(jí)如表所示，其中0表示最高優(yōu)先級(jí)，7表示最低優(yōu)先級(jí)數(shù)字代碼優(yōu)

先

級(jí)嚴(yán)重程度0emerg最嚴(yán)重，系統(tǒng)不可用1alert非常嚴(yán)重，需要立即采取行動(dòng)2crit嚴(yán)重，達(dá)到臨界值，有可能會(huì)導(dǎo)致更嚴(yán)重的結(jié)果3err未達(dá)到crit級(jí)別中的臨界值4warning警告5notice正常但是需要重視的消息6info普通的信息7debug調(diào)試級(jí)別的信息2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）52rsyslog服務(wù)通過“/etc/rsyslog.conf”配置文件，以及“/etc/rsyslog.d”目錄中的以“.conf”結(jié)尾的一些自定義配置文件對(duì)日志進(jìn)行控制，根據(jù)上述日志類型及日志優(yōu)先級(jí)決定日志處理的流程。在系統(tǒng)中安裝新軟件時(shí)，可以很方便地在“/etc/rsyslog.d”目錄中額外增加配置文件，進(jìn)行日志的處理。在rsyslog服務(wù)的配置文件中，每行定義一個(gè)規(guī)則。在每行的定義中，左側(cè)是表示日志類型和優(yōu)先級(jí)，右側(cè)表示日志存儲(chǔ)的位置信息，該位置可以是本地路徑下的一個(gè)位置，也可以是遠(yuǎn)程的日志服務(wù)器。左側(cè)的日志類型和優(yōu)先級(jí)采用點(diǎn)號(hào)(.)進(jìn)行分割，點(diǎn)號(hào)左邊表示日志的類型，右邊表示日志的優(yōu)先級(jí)，日志的類型和優(yōu)先級(jí)都可以使用星號(hào)通配符(*)表示所有，如圖所示。2024年1月2日53Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）542．日志輪轉(zhuǎn)在日志系統(tǒng)中，隨著時(shí)間的積累，各類進(jìn)程及服務(wù)產(chǎn)生的日志將越來越多，“/var/log”目錄將占用越來越大的空間，存儲(chǔ)系統(tǒng)的壓力也將越來越大。因此rsyslog服務(wù)提供了日志輪轉(zhuǎn)(logrotate)功能，相應(yīng)的輪轉(zhuǎn)行為都是通過“/etc/logrotate.conf”文件定義的，可以定義默認(rèn)的輪轉(zhuǎn)周期、存儲(chǔ)日志的次數(shù)等，文件的內(nèi)容如圖所示。2024年1月2日Linux應(yīng)用基礎(chǔ)項(xiàng)目化教程（RHEL8.2/CentOS8.2）553．rsyslog日志日志中記錄的內(nèi)容，通常是以追加的形式寫入日志的末尾的。所以，日志的末尾都最新的一條日志。以“/var/log/secure”日志為例，使用tail命令，查看該日志的最后5行，如圖所示。選取最后一行，其中“Oct3113:43:38”表示日志記錄