Linux网络操作系统配置与管理项目8 Linux安全配置
Red Hat Enterprise Linux 8 配置和管理网络说明书
Red Hat Enterprise Linux 8配置和管理网络管理网络接口、防火墙和高级网络功能Last Updated: 2023-08-04Red Hat Enterprise Linux 8 配置和管理网络管理网络接口、防火墙和高级网络功能法律通告Copyright © 2023 Red Hat, Inc.The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.Linux ® is the registered trademark of Linus Torvalds in the United States and other countries. Java ® is a registered trademark of Oracle and/or its affiliates.XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and other countries.Node.js ® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.The OpenStack ® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.All other trademarks are the property of their respective owners.摘要利用 Red Hat Enterprise Linux (RHEL)的网络功能,您可以配置主机以满足您组织的网络和安全要求。
《Linux网络操作系统配置与管理(第三版)》课程标准(教学大纲)[7页][002]
![《Linux网络操作系统配置与管理(第三版)》课程标准(教学大纲)[7页][002]](https://img.taocdn.com/s3/m/d5f2f6b92cc58bd63086bd1d.png)
XXXXXXXX职业学院《Linux网络操作系统配置与管理》课程标准教务处制《Linux网络操作系统配置与管理》课程标准一、课程基本信息二、课程定位1.课程性质与作用《Linux网络操作系统配置与管理》是计算机网络技术专业的专业核心课程,也是计算机应用技术专业的专业拓展课程。
其主要教学内容是介绍Red Hat Enterprise Linux 7 Server系统自身的管理和主流网络服务器的配置、维护与管理,以及利用简单的网络互联设备组建和管理局域网的方法,侧重网络服务的实用性技术及实际应用。
本课程对应职业岗位为“网络管理员”,其行业证书为“Linux网络管理员”,岗位职责主要有:RHEL Server 7.x的安装与登录、Linux文件和目录管理、用户管理、磁盘管理,软件包管理、服务和进程的管理,网络配置和Firewalld防火墙管理、NFS与Samba资源共享管理,并运用图形化管理工具和命令行方式实现诸如DNS、DHCP、Web、MariaDB数据库、FTP、Mail等网络服务,以及良好的职业素养。
本课程在计算机网络技术专业人才培养目标中的定位如下表所示。
课程在“计算机网络技术”专业人才培养目标中的定位本课程采用理论和实践操作并重的教学方式,培养学生计算机网络设计、组建、维护和管理的专业技能和职业技能。
学生在学习本课程后,能够根据企业的实际需求,配置相应的网络服务,组建公司的局域网络,并且能够维护和管理该网络。
为后续学习《网络设备配置与管理》、《计算机网络工程》、《网络管理与维护》等课程打下坚实的基础。
2.课程设计理念本课程的改革目标是:广泛深入行业企业调研,根据计算机网络职业岗位对从业人员的基本要求,分析出相关的职业技能要素(知识点、能力点、素质点),以多元智能理论为指导,按照认知逻辑和工作逻辑相结合的原则,基于项目管理的课程开发与设计理念,划分学习模块,归类学习单元,序化实践过程,构建本课程体系,充分体现职业性、实践性和开放性的特点,加强专业技能培养,为学生入行和入职计算机网络专业工作提供有力支撑。
Linux操作系统及应用 项目1 安装与基本配置Red Hat Enterprise Linux 8
理解Linux操作系统的体系结构。 掌握如何搭建Red Hat Enterprise Linux 8 服务器 掌握如何登录、退出Linux服务器。
理解Linux的启动过程和运行级别。 掌握如何排除Linux服务器安装的故障。
2
内容导航
1
项目知识准备
2
项目设计与准备
RHEL 8同时对管理员和管理区域进行 了改善的,让系统管理员、Windows管理 员更容易访问。
项目1安装与配置Linux操作系统
11
内容导航
1
项目知识准备
2
项目设计与准备
3
项目实施
4
项目实录:Linux系统安装与基本配置
项目1安装与配置Linux操作系统
12
二、项目设计与准备——项目设计
本项目需要的设备和软件如下: ➢ 1台安装有Windows 10操作系统的计算机,名称为Win10-1,IP地址为192.168.10.31/24。 ➢ RHEL 8的ISO映像文件一套。 ➢ VMware Workstation 15.5 Pro软件一套。 ➢ 本项目借助虚拟机软件要完成如下3项任务: ➢ 安装VMware Workstation。 ➢ 安装RHEL 8第一台虚拟机,名称为Server01。 ➢ 完成对Server01的基本配置。
Linux一般有3个主要部分:内核 (Kernel)、命令解释层(shell或其他操 作环境)、实用工具。
1.内核
内核是系统的心脏,是运行程序和管理 磁盘及打印机等硬件设备的核心程序。操作 环境向用户提供一个操作界面,它从用户那 里接受命令,并且把命令送给内核去执行。 由于内核提供的都是操作系统最基本的功能, 所以如果内核发生问题,那么整个计算机系 统就可能会崩溃。
Linux系统安全设置步骤
Linux系统安全设置步骤一直以来,许多人认为,Linux系统本身就是很安全的,不需要做太多的安全防护,另外基于Linux系统的防护、杀毒软件目前还较少被大众认知,因而在很多时候,我们安装完linux系统,经常不知道系统本身的安全设置从何做起,有的管理员干脆不做任何设置,或者随便下载安装一个杀毒软件完事,这样的做法基本起不了什么作用。
其实如windows server 2003系统本身也是一样,其系统自身的安全设置如果到位,对于服务器的整体安全是非常关键的。
笔者因为业务的关系,和铁通数据中心有较多的接触,通过对一些不法分子对服务器攻击方式的了解,更是深深体会到这点。
很多时候,安装完操作系统,一些看似随手进行的设置,很可能改变了操作系统的安全命运。
Linux安全配置步骤1. BIOS Security任何系统,给BIOS设置密码都是必须的,以防止其它用户通过在BIOS中改变启动顺序, 用特殊的启动盘启动你的系统.2. 磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;●方法一:修改/etc/fstab文件,添加nosuid属性字。
例如:/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0●方法二:如果对/etc/fstab文件操作不熟,建议通过linuxconf程序来修改。
*运行linuxconf程序;*选择"File systems"下的"Access local drive";*选择需要修改属性的磁盘分区;*选择"No setuid programs allowed"选项;*根据需要选择其它可选项;*正常退出。
LINUX操作系统配置规范
LINUX操作系统配置规范Linux操作系统是一种开放源代码的操作系统,相对于其他操作系统,Linux具有较大的灵活性和可定制性。
在实际应用中,为了保证Linux系统的性能和安全性,需要按照一定的规范进行配置。
下面将介绍一些常见的Linux操作系统配置规范。
1.安全性配置:- 禁止使用root账户远程登录,使用普通用户登录系统。
-设置复杂的用户密码,定期修改用户密码。
-安装并启用防火墙,限制网络访问权限。
-安装常用的安全软件,如杀毒软件和入侵检测系统。
-定期更新操作系统和软件包,修复安全漏洞。
2.网络配置:-配置正确的IP地址、子网掩码和网关。
- 禁止使用未加密的传输协议,如Telnet,使用SSH进行远程登录。
- 使用iptables配置防火墙规则,限制网络访问权限。
-配置DNS服务器,加速域名解析。
3.磁盘和文件系统配置:- 对磁盘进行分区,并将关键目录(如/, /usr, /var等)挂载到单独的分区上,以提高系统性能和安全性。
-使用LVM(逻辑卷管理器)对磁盘进行管理,方便动态扩展和迁移。
4.内核参数配置:-调整文件描述符限制,避免文件打开过多导致系统崩溃。
-调整内核参数,优化系统性能,如内存管理、磁盘I/O等参数。
-禁用不必要的内核模块,减少潜在的安全隐患。
5.日志监控与管理:-配置系统日志,记录关键操作和事件。
-定期检查日志文件,及时发现异常情况。
-使用日志分析工具,对日志文件进行分析,提取有用信息。
6.服务配置:-禁止不必要的服务和进程,减少安全风险。
-配置开机自启动的服务,确保系统正常运行。
-设置服务的资源限制,避免资源占用过多导致系统宕机。
7.软件包管理:-使用包管理器安装软件包,避免从源代码编译安装。
-定期更新软件包,修复漏洞和提升性能。
-删除不必要的软件包,减少系统资源占用。
8.工作目录和文件权限:-限制普通用户对系统核心文件的访问权限。
-设置用户家目录的权限,确保用户的私密数据不会被其他用户读取。
LINUX操作系统配置规范
LINUX操作系统配置规范LINUX操作系统配置规范一:引言本文档旨在为管理员提供一个详细的LINUX操作系统配置规范。
该规范旨在确保操作系统的稳定性、安全性和性能优化。
管理员应严格遵循该规范执行操作系统的配置。
二:操作系统安装和基础配置1. 系统安装1.1 准备安装介质和相关驱动程序1.2 执行操作系统安装1.3 设置主机名和网络配置1.4 创建管理员账户和设置密码2. 系统更新和补丁管理2.1 定期更新操作系统和安全补丁2.2 确保使用合法和可信的软件源3. 防火墙设置3.1 启用防火墙3.2 配置适当的规则以限制网络访问3.3 监控防火墙日志以及及时处理异常情况4. 安全设置4.1 禁用不必要的服务和端口4.2 配置安全登录设置,包括SSH以及远程登录4.3 定期更新管理员密码4.4 设置账户锁定策略和密码策略4.5 配置主机防护工具,如SELinux或AppArmor5. 性能优化配置5.1 合理调整操作系统参数,优化内存、磁盘和网络性能 5.2 配置日志管理,避免过度记录日志5.3 监控系统资源使用情况,及时调整配置6. 安全备份和恢复策略6.1 定期备份操作系统和相关数据6.2 测试备份和恢复策略的有效性6.3 存储备份数据的安全策略,包括加密和存储位置7. 监控和告警设置7.1 配置系统监控工具,例如Zabbix、Nagios等7.2 设置合适的告警策略,及时发现和解决系统异常8. 日志管理8.1 配置日志审计规则,记录关键系统操作8.2 定期审查系统日志,发现异常情况并采取相应措施9. 系统维护流程9.1 定期执行系统维护任务,如磁盘碎片整理、日志清理等 9.2 管理接口和升级流程9.3 建立系统更新和维护的文档和计划10. 硬件和软件要求10.1 硬件要求:根据实际需求配置合适的硬件设备10.2 软件要求:操作系统版本和必要的软件组件11. 系统文档11.1 创建操作系统配置文档,包括所有配置的详细信息 11.2 更新文档以反映系统的变化本文档涉及附件:无本文所涉及的法律名词及注释:1. 操作系统安装:指在计算机上安装并配置操作系统的过程。
linux操作系统安全配置内容
linux操作系统安全配置内容
1. 更新操作系统:确保在系统中安装了最新的安全补丁和更新,以修复已知的漏洞和弱点。
2. 强密码策略:设置密码策略,要求用户使用强密码,包括至少8个字符,包含字母、数字和
特殊字符,并定期更改密码。
3. 用户权限管理:为每个用户分配适当的权限,并限制对敏感文件和系统配置的访问权限。
避
免使用管理员权限进行常规操作。
4. 防火墙设置:配置防火墙以限制网络流量,并只允许必要的端口和服务通过。
拒绝来自未知
来源或可疑IP地址的连接。
5. 安全审计:启用并配置安全审计工具,以跟踪对系统和文件的访问、登录尝试和其他安全事件。
6. 文件和目录权限:设置适当的文件和目录权限,以防止未经授权的用户访问和修改敏感文件。
7. 禁用不必要的服务和端口:禁用不必要的服务和端口,以减少攻击面。
8. 加密通信:对重要的网络通信采取加密措施,如使用SSL/TLS进行安全的远程登录、传输
和数据传输。
9. 安全日志管理:配置日志记录和监控系统,以及定期检查日志以发现潜在的安全问题。
10. 定期备份:定期备份系统和重要数据,以防止数据丢失和恶意破坏。
11. 安全性测试和漏洞扫描:进行定期的安全性测试和漏洞扫描,以发现并修复系统中的安全
漏洞。
12. 非必要软件和服务的删除:删除不必要的软件和服务,减少系统的攻击面。
13. 安全培训和意识提升:为用户提供安全培训和意识提升,教育他们遵循最佳的安全实践,
如不点击垃圾邮件的链接或下载未知来源的文件。
Linux系统网络配置教程
Linux系统网络配置教程一、引言在现代信息技术时代,网络已经成为我们生活和工作中不可或缺的一部分。
而对于使用Linux操作系统的用户来说,正确配置网络是十分重要的。
本章将介绍Linux系统网络配置的基本步骤和常见问题解决方法。
二、网络配置概述网络配置是指将计算机与网络相连,并配置正确的网络参数,以实现与其他计算机之间的通信。
Linux系统的网络配置可分为两个方面,即物理连接和逻辑配置。
2.1 物理连接物理连接是指将计算机与网络相连的操作。
首先要确保计算机已经正确连接到局域网或因特网。
如果是有线连接,需要插入以太网线到计算机的网卡插槽和路由器的网络接口;如果是无线连接,需要确保无线网卡已经连接到正确的无线网络。
2.2 逻辑配置逻辑配置是指在物理连接完成后,需要对计算机进行相应的软件设置,以使其能够正确地与其他网络设备进行通信。
逻辑配置的主要内容包括IP地址的配置、网关的配置、DNS的配置以及防火墙的配置等。
三、IP地址配置IP地址是互联网中用于标识和定位计算机的一种地址。
在Linux系统中,可以通过以下两种方式来配置IP地址:3.1 动态IP地址配置动态IP地址配置是指使用DHCP服务器为计算机分配IP地址的方式。
DHCP是一种网络协议,它可以自动为计算机分配IP地址和其他网络配置信息。
要使用动态IP地址配置,在终端中输入以下命令:```shellsudo dhclient eth0```其中,eth0是计算机的网卡接口名,根据实际情况进行相应更改。
3.2 静态IP地址配置静态IP地址配置是指手动为计算机分配一个固定的IP地址。
这种方式适用于需要长期使用特定IP地址的情况。
要进行静态IP 地址配置,需要编辑网络配置文件。
在终端中输入以下命令:```shellsudo nano /etc/network/interfaces```在文件中添加以下配置信息:```shellauto eth0iface eth0 inet staticaddress 192.168.0.100netmask 255.255.255.0gateway 192.168.0.1```其中,eth0是计算机的网卡接口名,address是计算机的IP地址,netmask是子网掩码,gateway是网关地址。
Linux服务器管理与网络配置教程
Linux服务器管理与网络配置教程第一章:Linux服务器管理基础Linux 服务器管理是使用 Linux 操作系统来管理和维护服务器的过程。
本章将介绍如何使用一些基础的 Linux 命令和工具来管理服务器,包括登录服务器、创建用户账户、修改文件权限等。
1.1 登录服务器要管理 Linux 服务器,首先需要登录服务器。
常用的远程登录工具有 SSH(Secure Shell)和 PuTTY。
本节将详细介绍如何使用SSH 和 PuTTY 远程登录服务器,并提供一些常用的登录命令示例。
1.2 创建用户账户为了管理服务器,需要创建一个具有管理员权限的用户账户。
本节将介绍如何使用命令行和图形界面工具来创建用户账户,并授予相应的权限。
1.3 修改文件权限为了保护服务器的安全性和文件的完整性,需要正确设置文件权限。
本节将介绍如何使用命令行和图形界面工具来修改文件和目录的权限,并阐述权限的含义和作用。
第二章:Linux 服务器网络配置本章将介绍如何配置 Linux 服务器的网络设置,包括 IP 地址、子网掩码、网关和 DNS 配置等。
还将介绍如何进行网络故障排除和常见网络问题的解决方法。
2.1 配置静态 IP 地址静态IP 地址是指服务器在启动过程中不会改变的固定IP 地址。
本节将介绍如何使用命令行和图形界面工具来配置静态 IP 地址。
2.2 配置子网掩码和网关子网掩码和网关是用于确定服务器与其他网络设备之间的连接的重要参数。
本节将介绍如何设置子网掩码和网关,并解释其原理。
2.3 配置 DNSDNS(Domain Name System)用于将域名转换为 IP 地址。
本节将介绍如何配置 DNS 服务器的设置,包括使用本地 DNS 服务器和公共 DNS 服务器。
2.4 网络故障排除网络故障是服务器管理中常见的问题。
本节将介绍一些常用的网络故障排除方法,例如检查网络连接、排查网络配置问题等。
第三章:Linux 服务器服务管理本章将介绍如何管理 Linux 服务器中的服务,包括启动和停止服务、设置开机自启动等。
linux服务器的安全配置策略
linux服务器的安全配置策略
Linux服务器的安全配置策略是非常重要的,因为服务器是许多网络服务和工作负载的集中点,因此需要采取一系列措施来保护它。
以下是
一些基本的Linux服务器安全配置策略:
1. 更新和补丁管理:确保服务器及其软件包(如操作系统、Web服务器、数据库等)都是最新版本,并安装所有安全补丁。
2. 防火墙设置:设置防火墙规则以限制对服务器的访问。
这包括只允
许必要的网络接口和端口,并关闭不必要的服务。
3. 用户和组管理:限制对服务器的访问权限,只允许必要的用户和组
访问。
使用强密码策略,并定期更改密码。
4. 文件权限:确保文件和目录的权限设置正确,以防止未经授权的访问。
5. 远程访问控制:限制远程访问服务器的数量和类型,并使用安全的
远程访问协议(如SSH)。
6. 日志管理:记录所有活动和错误日志,以便于故障排除和安全审计。
7. 限制根访问:禁用root用户默认登录,并限制只有必要的情况下
才使用root权限。
8. 加密和备份:使用加密存储和备份策略来保护敏感数据。
定期备份
数据,并确保备份的安全存储。
9. 防病毒软件:安装并定期更新防病毒软件,以防止恶意软件攻击服
务器。
10. 安全审计和监控:实施安全审计和监控策略,以确保服务器始终
处于安全状态。
可以使用安全监控工具(如防火墙日志分析器)来监
视和分析服务器活动。
此外,还需要考虑定期进行安全审计和风险评估,以确保服务器始终
处于最佳安全状态。
总之,确保您的Linux服务器遵循上述最佳实践,以提高安全性并降低风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SELinux 运行策略
targeted :仅针对预制的几种网络服务和访问请求使用 SELinux 保护 strict :所有网络服务和访问请求都要经过 SELinux。
28
安全上下文
SELinux 是一组可确定哪个进程能访问哪些文件、 目录、端口等的安全规则。每个文件、进程、目 录和端口都具有专门的安全标签,称为 SELinux 安 全上下文( security context )。 安全上下文的格式:user:role:type
(1)数据包从外网传送给防火墙后,防火墙在IP层向TCP层传输数 据前,将数据包转发给包检查模块进行处理。 (2)首先与第一条过滤规则进行比较。 (3)如果与第一条规则匹配,则进行审核,判断是否允许传输该数 据包,如果允许则传输,否则查看该规则是否阻止该数据包通过, 如果阻止则将该数据包丢弃。 (4)如果与第一条过滤规则不同,则查看是否还有下一条规则。如 果有,则与下一条规则匹配,如果匹配成功,则进行与(3)相同 的审核过程。 (5)依此类推,一条一条规则匹配,直到最后一条过滤规则。如果 该数据包与所有的过滤规则均不匹配,则采用防火墙的默认访问 控制策略策略(丢掉该数据包X= enforcing
# SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection.
29
安全上下文
User:与主体或客体相关联的用户id
对一个主体,即进程而言,代表了该进程运行所处的账户上下文
对一个客体,表明该客体的拥有者
注意:与Linux自主访问控制中的UID,是不同的两套概念
30
安全上下文
Role:a set of permission a user can be granted
8
包过滤型防火墙
9
代理服务器型防火墙
代理服务器型防火墙是应用网关型防火墙,通常 工作在应用层。 代理服务器实际上是运行在防火墙上的一种服务 器程序。服务器监听客户机的请求,如申请浏览 网页等。当内网的客户机请求与外网的真实服务 器连接时,客户端首先连接代理服务器,然后再 由代理服务器与外网真实的服务器建立连接,取 得客户想要的信息,代理服务器再把信息返回给 客户。
10
代理服务器型防火墙
11
包过滤技术
数据包过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的,主要信息 有:
源、目标IP地址 TCP和UDP的源、目的端口号 协议类型
ICMP消息类型
TCP报头中的ACK位、序列号、确认号 IP校验和
12
包过滤技术
包过滤型防火墙的工作过程:
SELINUXTYPE=targeted
34
SELinux的布尔值
SELinux规定了很多项目规则,可以通过调整布尔值(boolean value)来开 启与关闭相应的规则。 /selinux/booleans目录下保存了所有的布尔值文件。 布尔值可通过getsebool和setsebool命令管理
15
Netfilter/iptables架构
Netfilter是Linux 核心中的一个通用架构,它提供了 一系列的“表”(tables),每个表由若干 “链”(chains)组成,而每条链中可以有一条或数 条规则(rule)组成。因此,可以理解netfilter是表的 容器,表是链的容器,而链又是规则的容器。
38
SELinux的图形化管理工具
39
小结
SELinux是 MAC的一个实现 RHEL6 提供图形化 防火墙是网络安全的屏障。 SELinux 的三种运 ,目的在于明确指明某个进 RHEL6 默认安装 的防火墙配置工具。 防火墙可分为数据包过滤型、 程可以访问哪些资源。 行模式: Enforcing 了 Netfilter/iptables 包 代理服务器型。 、Permissive和 过滤防火墙。 Disabled 。 RHEL6 提供了图 Netfilter 是表的容器, 形化的 SELinux 表是链的容器,而链又 管理工具。 是规则的容器。
16
Netfilter总体结构
17
系统缺省的表为“filter”,该表中包含了INPUT、 FORWARD和OUTPUT 3个链。每一条链中可以有一条或数 条规则,每一条规则都是这样定义的:“如果数据包头 符合这样的条件,就这样处理这个数据包”。
当一个数据包到达一个链时,系统就会从第一条规 则开始检查,看是否符合该规则所定义的条件:如果满 足,系统将根据该条规则所定义的方法处理该数据包; 如果不满足则继续检查下一条规则。最后,如果该数据 包不符合该链中所有规则的话,系统就会根据该链预先 定义的策略(policy)来处理该数据包。
包过滤型防火墙 代理服务器型防火墙
7
包过滤型防火墙
数据包过滤(Packet Filtering)技术是在网络层对数据包进 行选择,选择的依据是系统内设置的过滤逻辑,被称为访 问控制表(Access Control Table)。通过检查数据流中每 个数据包的源地址、目的地址、所用的端口号、协议状态 等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,通常安装在路由器上。路由器是内 部网络与Internet连接必不可少的设备,因此,在原有网 络上增加这样的防火墙几乎不需要任何额外的费用。
dummy role for object that have no other need of a role
安全上下文
Type:用来将主体和客体划分为不同的组
例如sysadm_t
当一个类型与进程关联时,其type也称为 domain
32
查看安全上下文
id -Z 查看用户安全上下文
14
Netfilter/iptables架构
iptables作为一个管理内核包过滤的工具, iptables 可以加入、插入或删除核心包过滤表格 (链)中的规则。实际上真正来执行这些过滤规则 的是Netfilter(Linux 核心中一个通用架构)及其相 关模块(如iptables模块和nat模块等)。 RHEL6使用2.6版本的内核,并且内核的编译选项 中包含对Netfilter的支持,同时iptables软件包是 默认安装的,所以可以直接使用。
23
任务2 配置SELinux
24
SELinux简介
SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于 明确的指明某个进程可以访问哪些资源(文件、网络端口等)。
项目8 Linux安全配置
1
阿福的任务
天成公司的Web网站开通之后,网站的访问 量一天比一天大。公司也通过网站得到了好几笔 订单。 老板在暗暗高兴的同时,又产生了新的担心。 网络上存在很多威胁,黑客、木马、病毒……公 司的网站会不会受到攻击和破坏呢?
2
害人之心不 可有,防人之 心不可无。咱 们防着点吧。
3
额~ 咱们 合计合 计、、、
4
阿福的工作计划
任务1 配置Linux防火墙 任务2 配置SELinux
5
任务1 配置Linux防火墙
6
什么是防火墙
防火墙是一种非常重要的网络安全工具,利用防火墙可以保护企业内部网络 免受外网的威胁,作为网络管理员,掌握防火墙的安装与配置非常重要。 防火墙分成2种:
25
26
SELinux 运行模式
Enforcing: 强制模式,SELinux 主动拒绝访问尝试读取 类型上下文为 tmp_t 的文件的 Web 服务器。在强制模式 中, SELinux 不仅记录而且提供保护。 Permissive:许可模式,通常用于对问题进行故障排除。 在许可模式中,即使没有明确规则, SELinux 也允许所有交 互,并且记录所有被拒绝的交互。 Disabled:禁用模式,将完全禁用 SELinux 。 注:必须重新引导才能彻底禁用 SELinux ,或者从禁用模式 转为强制模式或许可模式。而强制模式与许可模式之间的 转换则无需重新引导。
修改制定的布尔值
chcon [-u 用户][-r 角色][-t 类型] 文件或目录
修改文件或目录的安全上下文
36
SELinux的图形化管理工具
安装:
# yum install policycoreutils-gui
启动:
“系统”——“管理”——“SELinux管理”
37
SELinux的图形化管理工具
ls –Z, ls --scontext
查看文件或目录安全上下文
ps Z, ps –Z, ps -auxZ
查看进程安全上下文
33
主配置文件 /etc/sysconfig/selinux
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled.
13
Netfilter/iptables架构