Security-Enhanced Linux
由美国NSA主导开发,一套增强Linux系统安全的强制访问控制体系
集成到Linux内核(2.6及以上)中运行
RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略以及管理工具
enforcing:强制,发现危险行为直接禁止
permissive:宽松,发现危险行为做记录,极端危险行为也会直接禁止
disabled:彻底不用SELinux
getenforce #查看SELinux运行模式
setenforce 0 #临时修改成permissive模式
SELinux的配置文件,修改SELINUX=permissive,这样就设置了电脑下次启动时的SELinux状态为permissive
和HSRP的功能类似,team的主要功能是对网卡设备进行备份。由多块网卡(team-slave)一起组建的虚拟网卡,即组队
man nmcli-examples可以看配置示例
轮询(roundrobin)
热备份(activebackup):可以man teamd.conf,查找example,在第二个examle里面能看到"runner": {"name": "activebackup"}
nmcli connection add type team con-name team0 ifname team0 config '{"runner":{"name":"activebackup"}}'
nmcli connection add type team-slave ifname eth1 master team0
nmcli connection add type team-slave ifname eth2 master team0
nmcli connection modify team0 ipv4.method manual ipv4.addresses '172.16.3.25/24' connection.autoconnect yes
nmcli connection up team-slave-eth1
nmcli connection up team-slave-eth2
nmcli connection up team0
teamdctl team0 state
ifconfig down eth1
128个二进制,8组用冒号分隔的十六进制数。每段内连续的前置0可省略、128个0为::
表示IPV6的任意地址
nmcli connection modify ‘System eth0' ipv6.method manual ipv6.addresses ‘2003:ac18::305/64' connection.autoconnect yes
只影响指定用户的bash解释器环境,每次开启bash终端后生效
影响所有用户的bash解释器环境,每次开启bash终端后生效
服务端:Apache(组织)写出了httpd(软件)
安装httpd软件包
启动httpd并设置为开机启动
apache默认网站的网页文件根目录
apache默认主页文件名
FTP主动/被动模式
数据:tcp/21 ftp控制命令
数据连接端口:tcp/20 上传/下载
主动模式:客户端主动向服务器的21端口发起连接,身份验证通过后,客户端打开一个高于1024的随机端口,假设是6666。客户端会用PORT命令告知服务器“我打开了6666端口,你可以来连接我。”。然后服务器用20端口与客户端的6666端口建立连接,开始数据的传输。这里的主动是指服务器主动把数据给客户端。
被动模式:当客户端所在网络使用了防火墙的时候,主动模式下服务器企图与客户端的随机高端口建立连接的行为很有可能被客户端的防火墙阻塞掉。这时客户端会做两件事情:
1.主动向服务器的21端口发起连接进行身份验证。
2.主动向服务器发送PASV命令,服务器会打开一个高于1024的随机端口,假设是7777端口。打开端口后会向客户端发PORT 7777命令,等于告诉客户端“我打开了7777端口,你可以来连接我。”,客户端会主动与7777端口连接,开始数据的传输。
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
安装vsftp软件包
启动vsftpd并设置为开机启动
默认共享目录路径
防火墙最大的作用是隔离。阻止入站,允许出站。
管理工具:firewall-cmd、firewall-config(图形界面)
服务名称:firewalld
强大的地方:
-可以检测tcp协议三次握手中的标识位(SYN,ACK,FIN),如果有客户端一直发SYN,但是没建立连接;可以判断在尝试密码,可以丢入规则比较严格的区域;如果还是发SYN,则会丢入block区域;如果还发SYN,那么就丢入drop区域
-可以流量检测,设置流量优先级,比如百度流量优先
根据所在的网络场所区分,预设保护规则集。
必须记住的安全区域
public:仅允许访问本机的sshd等少数几个服务
trusted:允许任何访问
block:拒绝任何来访的请求
drop:丢弃任何来访的数据包。(生产环境常用)
......
查看默认安全区域
查看public区域的所有规则
查看客户端的请求当中的源IP地址,匹配所有区域中的策略,如果有策略则放该请求进入该区域;如果没有策略则放请求进入默认区域。策略匹配则停止
为public区域添加允许访问http服务。因为firewalld可以识别7层的数据包,所以可以写协议名称
设置的规则永久写入到防火墙配置文件中
重新加载防火墙配置文件,使通过--permanent写入的规则生效
修改默认区域,直接是永久生效的,不需要加--permanent选项
添加信任的IP网段为172.25.0.0/24
设置端口转发,在public区域里面对tcp/5423端口转发到tcp/80端口
本文转自 goldwinner 51CTO博客,原文链接:http://blog.51cto.com/355665/2068704,如需转载请自行联系原作者
![Apache配置SSLApache配置SSL[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)