-
安全策略selinux
-
Selinux是Redhat/CentOS系统特有的安全机制;
-
因为这个东西限制太多,配置也特别繁琐,故一般装完系统,会把selinux关闭;
-
selinux伴随linux的启动而启动,如果要关闭selinux,需要修改配置文件/etc/selinux/config:
-
从配置文件注释可以看出,SELINUX=disable即可关闭
image.png
setenforce:设置selinux的状态
setenforce 0 关闭selinux setenforce 1 开启selinux ++++++ setenforce 0
image.png
getenforce:显示当前selinux的状态
enforcing 启用 permissive 关闭 ++++++ getenforce
image.png
-
防火墙
-
linux上强大的防火墙iptables
-
iptables的三个表:
filter 这个表主要用于过滤包,系统预设(常用) INPUT 作用于进入本机的包 OUTPUT 作用于本机送出的包 FORWARD 作用于与本机无关的包 nat 主要用于网络地址转换(不常用) PREROUTING 如果需要,在包刚到达防火墙时更改它的目的地址 OUTPUT 改变本地产生的包的目的地址 POSTROUTING 在包要离开防火墙之前改变其源地址 mangle 标记包,根据标记操作包(几乎不用)
iptables:设置防火墙规则
1.查看规则:
iptables -nvl 查看fliter表的所有规则
iptables -t nat -nvl 查看nat表的所有规则
2.删除规则:
iptables -F 清除所有filter表的规则,-t可以指定表
iptables -Z 流量计数器置0
3.增加/删除一条规则:
iptables -A INPUT -s 172.16.1.219 -p tcp --sport 1234 -d 172.16.1.209 --dport 80 -j DROP
(增加一条规则,如果-A换成-D则表示删除规则)
-t:指定表,默认是fliter
-A:增加一条规则 -D:删除一条规则 -I:插入一条规则
INPUT:即链名称
-s:源地址
-p:协议(tcp;udp;icmp)
--sport:源端口 --dport:目标端口
-d:目的ip(主要针对内网或外网)
-j:触发规则后的动作 DROP:丢掉包 REJECT:拒绝包 ACCEPT:允许包
4.例:iptables -A INPUT -p tcp --dport 22 -j ACCEPT
fliter表INPUT链中增加一条规则
省略源&目标地址,表示所有源和目标
协议类型tcp
目标端口22
处理方式ACCEPT
防火墙开关:
通过服务脚本开关
service iptables start 启用防火墙
service iptables stop 关闭防火墙
网友评论