标签:问控制 list 区分 uri 永久 针对 工具 5.0 根据
系统安全保护
SELinux概述
? Security-Enhanced Linux
– 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具
? SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)
? 切换运行模式
– 临时切换:setenforce 1|0
– 固定配置:/etc/selinux/config 文件
– 如果修改SELinux状态为disabled(彻底禁用),需要修改/etc/selinux/config 文件并且重起
防火墙策略管理
? 系统服务:firewalld
? 管理工具:firewall-cmd、firewall-config
作用:隔离, 严格控制入站请求,放行所有出站
– 永久配置(permanent)
? 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd等少数几个服务
– trusted:允许任何访问
– block:拒绝任何来访请求
– drop:丢弃任何来访的数据包
命令:firewall-cmd --get-default-zone #查看默认区域
命令:firewall-cmd --zone=public --list-all #查看区域规则
命令:firewall-cmd --set-default-zone=block #修改默认区域
命令:firewall-cmd --zone=public --add-service=http #添加服务
命令:firewall-cmd --reload #重新加载防火墙配置
实现本机的端口映射
从客户机访问 ------》172.25.0.11:5423-----------》172.25.0.11:80
命令:firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
命令: firewall-cmd --zone=block --list-all #查看被禁用的IP或服务标签:问控制 list 区分 uri 永久 针对 工具 5.0 根据
原文地址:http://blog.51cto.com/13463622/2060342
