系统安全保护与防火墙策略
SELinux模式的切换
enforcing(强制)
permissive(宽松)
disabled(禁用)
与disabled模式相关的切换都需要重启
getenforce ----查看模式
临时切换:setenforce 1|0 (1-强制,0-宽松)
永久配置:/etc/selinux/config
搭建基本的Web服务
yum -y install httpd
systemctl restart httpd
systemctl enable httpd(开机自启)
本机访问测试>>> firefox ip
firefox 172.25.0.11
书写网页文件:
/var/www/html (httpd默认网页文件路径)
index.html (httpd默认为网页名称)
搭建基本的ftp服务
FTP------文件传输协议
yum -y install vsftpd
systemctl restart vsftpd
systemctl enable vsftpd
本机访问测试: firefox ftp://ip
firefox ftp://172.25.0.11
FTP默认共享路径:
var/ftp
防火墙策略:
作用:过滤和隔离
允许出站,过滤入站
firewalld服务基础
firewall-cmd firewall-config(图形)
--public 仅允许访问本机的sshd dhcp ping等少数几个服务
--trusted 允许任何访问
--block 阻塞任何来访请求(明确拒绝)
--drop 丢弃任何来访的数据包(没有回应,直接丢弃,节省资源)
默认区域(public): root用户可以修改
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域
public
[root@server0 ~]# firewall-cmd --set-default-zone=block #修改默认区域
success
[root@server0 ~]# firewall-cmd --get-default-zone
block
数据包内容:源IP地址 目标IP地址 数据 目标端口
public区域添加服务的协议
[root@server0 ~]# firewall-cmd --zone=public --list-all public (default, active) interfaces: eth0 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp success [root@server0 ~]# firewall-cmd --zone=public --add-service=http success [root@server0 ~]# firewall-cmd --zone=public --list-all public (default, active) interfaces: eth0 sources: services: dhcpv6-client ftp http ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
[root@desktop0 ~]# firefox 172.25.0.11
[root@desktop0 ~]# firefox ftp://172.25.0.11
防火墙实现永久策略:
--permanent(永久)
firewall-cmd --reload
[root@server0 ~]# firewall-cmd --permanent --zone=public --add-service=http success [root@server0 ~]# firewall-cmd --permanent --zone=public --add-service=ftp success [root@server0 ~]# firewall-cmd --reload success [root@server0 ~]# firewall-cmd --zone=public --list-all public (default, active) interfaces: eth0 sources: services: dhcpv6-client ftp http ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
删除:
[root@server0 ~]# firewall-cmd --zone=public --remove-service=ftp #临时删除 success [root@server0 ~]# firewall-cmd --permanent --zone=public --remove-service=ftp #永久删除 success [root@server0 ~]# firewall-cmd --reload success
单独拒绝某IP访问:
firewall-cmd --zone=block --add-source=172.25.0.10
端口重定向:
root 可以改变服务/程序/协议的端口,也可以让一个服务具备多个端口
客户端访问:172.25.0.11:5423---->防火墙--->172.25.0.11:80
[root@server0 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80 success [root@server0 ~]# firewall-cmd --reload success
[root@desktop0 ~]# firefox 172.25.0.11:5423 #验证