备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

防火墙简单设置,selinux设置,网卡聚合连接,个性化设置

2017-11-22 921
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

selinux的介绍及设置

• Security-Enhanced Linux

– 美国NSA国家安全局主导开发,一套增强Linux系统安
全的强制访问控制体系
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具

• SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)

[root@server0 ~]# getenforce #查看当前SELinux状态
Enforcing
[root@server0 ~]# setenforce 0 #设置当前SELinux状态
[root@server0 ~]# getenforce 
Permissive

固定配置:
[root@server0 ~]# vim /etc/selinux/config

SELINUX=permissive

补充:vim 命令模式 
C(大写):删除光标之后到行尾,并且进入插入模式

#####################################################
配置聚合连接(网卡绑定)

HSRP   备份网关设备                  (论坛中有网络知识)

                                 路由器1             路由器2
                            192.168.1.254     192.168.1.253
                                  活跃                     备份

                                         虚拟路由器
                                       192.168.1.200

   聚合连接  备份网卡设备 

                  eth1            eth2

                          team
                                              192.168.1.10

• team,聚合连接(也称为链路聚合)
– 由多块网卡(team-slave)一起组建而成的虚拟网卡,
即“组队”
– 作用1:轮询式(roundrobin)的流量负载均衡

– 作用2:热备份(activebackup)连接冗余

热备份配置 :    {"runner":{"name":"activebackup"}}

      man帮助辅助记忆

      /example    #全文查找example
                                      #按n 跳转下一个匹配

[root@server0 ~]# man teamd.conf
/example #全文查找example
#按n 跳转下一个匹配

一、添加team团队设备

nmcli connection add type team con-name team0 ifname team0config '{"runner": {"name": "activebackup"}}'

cat /etc/sysconfig/network-scripts/ifcfg-team0

ifconfig team0

二、添加成员

nmcli connection add type team-slave ifname eth1 master team0

nmcli connection add type team-slave ifname eth2 master team0

三、配置team0的IP地址

nmcli connection modify team0 ipv4.method manual ipv4.addresses 192.168.1.1/24 connection.autoconnect yes

四、激活team0

nmcli connection up team-slave-eth1 #激活从设备eth1

nmcli connection up team-slave-eth2 #激活从设备eth2

nmcli connection up team0 #激活主设备team0

五、验证

teamdctl team0 state #专用于查看team信息

删除

nmcli connection delete team-slave-eth1

nmcli connection delete team-slave-eth2

nmcli connection delete team0

#####################################################
配置IPv6地址

• IPv6 地址表示
– 128个二进制位,冒号分隔的十六进制数
– 每段内连续的前置 0 可省略、连续的多个 : 可简化为 ::

nmcli connection modify 'System eth0'

ipv6.method manual 
ipv6.addresses 2003:ac18::305/64 
connection.autoconnect yes

nmcli connection up 'System eth0'

ifconfig eth0

ping6 2003:ac18::305

###################################################

alias别名设置
• 查看已设置的别名
– alias [别名名称]
• 定义新的别名
– alias 别名名称= '实际执行的命令行'
• 取消已设置的别名
– unalias [别名名称]

用户个性化配置文件
• 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效

全局环境配置
• 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效

[root@server0 ~]# vim /root/.bashrc #影响root文件
alias hello='echo hello' 
[root@server0 ~]# vim /home/student/.bashrc #影响student文件
alias hi='echo hi' 
[root@server0 ~]# vim /etc/bashrc #全局配置文件 
alias haha='echo xixi'

退出远程登陆,从新远程server0验证
[root@server0 ~]# hello #成功
[root@server0 ~]# hi #失败
[root@server0 ~]# haha #成功
[root@server0 ~]# su - student
[student@server0 ~]$ hello #失败
[student@server0 ~]$ hi #成功
[student@server0 ~]$ haha #成功
[student@server0 ~]$ exit
####################################################

防火墙策略管理(firewall)

一、搭建基本Web服务

服务端: httpd(软件)
1.server0上安装httpd软件
2.server0启动httpd服务,设置开机自起
默认情况下:Apache没有提供任何页面

默认Apache网页文件存放路径:/var/www/html
默认Apache网页文件名称:index.html

[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd

[root@server0 ~]# vim /var/www/html/index.html

<marquee><font color=green><h1>My First Web

[root@server0 ~]# firefox 172.25.0.11

二、FTP服务的搭建
服务端: vsftpd(软件)
1.server0上安装 vsftpd软件
2.server0启动 vsftpd服务,设置开机自起
默认共享的位置:/var/ftp

测试
[root@server0 ~]# firefox ftp://172.25.0.11

###################################################
防火墙策略管理(firewall)

作用:隔离
阻止入站,允许出站

• 系统服务:firewalld
• 管理工具:firewall-cmd(命令)、firewall-config(图形)

查看防火墙服务状态
[root@server0 ~]# systemctl status firewalld.service

• 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd等少数几个服务
– trusted:允许任何访问
– block:拒绝任何来访请求
– drop:丢弃任何来访的数据包

防火墙判断的规则:匹配及停止

1.首先看请求(客户端)当中的源IP地址,所有区域中是否有对于改IP地址的策略,如果有则该请求进入该区域
2.进入默认区域

虚拟机desktop0:

firefox http://172.25.0.11 #访问失败

firefox ftp://172.25.0.11 #访问失败

虚拟机server0:

firewall-cmd --get-default-zone #查看默认区域

firewall-cmd --zone=public --list-all

firewall-cmd --zone=public --add-service=http #添加服务

firewall-cmd --zone=public --list-all #查看区域规则信息

虚拟机desktop0:

firefox http://172.25.0.11 #访问成功

firefox ftp://172.25.0.11 #访问失败

虚拟机server0:

firewall-cmd --zone=public --add-service=ftp

firewall-cmd --zone=public --list-all

虚拟机desktop0:

firefox ftp://172.25.0.11 #访问成功

#####################################################
--permanent选项:实现永久设置

虚拟机server0:

firewall-cmd --reload #重新加载防火墙

firewall-cmd --zone=public --list-all

firewall-cmd --permanent --zone=public --add-service=ftp

firewall-cmd --permanent --zone=public --add-service=http

firewall-cmd --reload #重新加载防火墙

firewall-cmd --zone=public --list-all

####################################################
修改默认的区域,不需要加上--permanent

虚拟机desktop0:

ping 172.25.0.11 #可以通信

虚拟机server0:

firewall-cmd --set-default-zone=block #修改默认区域

firewall-cmd --get-default-zone #查看默认区域

虚拟机desktop0:

ping 172.25.0.11 #不可以通信

虚拟机server0:

firewall-cmd --set-default-zone=drop

firewall-cmd --get-default-zone

虚拟机desktop0:

ping 172.25.0.11 #通信无反馈

######################################################

虚拟机server0:

firewall-cmd --permanent --zone=public --add-source=172.25.0.10

firewall-cmd --zone=public --list-all

firewall-cmd --reload

firewall-cmd --zone=public --list-all

虚拟机desktop0:

firefox http://172.25.0.11

##################################################
实现本机的端口映射
• 本地应用的端口重定向(端口1 --> 端口2)
– 从客户机访问 端口1 的请求,自动映射到本机 端口2
– 比如,访问以下两个地址可以看到相同的页面:

虚拟机desktop0:

firefox http://172.25.0.11:5423-------》172.25.0.11:80

虚拟机server0:

firewall-cmd --permanent --zone=public

--add-forward-port=port=5423:proto=tcp:toport=80

firewall-cmd --reload

firewall-cmd --zone=public --list-all

虚拟机desktop0:

firefox http://172.25.0.11:5423

#####################################################










本文转自 英强云计算 51CTO博客,原文链接:http://blog.51cto.com/13404755/2048774,如需转载请自行联系原作者
文章标签:
云防火墙
云虚拟主机
网络安全
开发工具
搜索推荐
Web App开发
Shell
关键词:
云防火墙设置
云防火墙连接
云防火墙selinux
余二五
目录
相关文章
蓝易云
|
7月前
|
安全 Linux 网络安全
百度搜索:蓝易云【服务器安全设置Centos7 防火墙firewall与iptables】
CentOS 7使用的默认防火墙是firewall,它是一种基于Netfilter的用户空间工具,用于管理Linux内核中的iptables规则。为了加强服务器的安全性,可以通过配置CentOS 7防火墙和iptables规则来保护服务器。
蓝易云
106 0
GG2020gg
|
3月前
|
网络协议 Shell Linux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
GG2020gg
37 2
sunrr
|
4月前
|
Linux 网络安全 Nacos
麒麟v10系统,服务连接nacos提示连接不上9848端口是什么问题呢?服务和nacos都在一台机器,防火墙也都关闭了,telnet9848是ok的,但服务启动时就连不上9848。
麒麟v10系统,服务连接nacos提示连接不上9848端口是什么问题呢?服务和nacos都在一台机器,防火墙也都关闭了,telnet9848是ok的,但服务启动时就连不上9848。
sunrr
214 1
流子
|
5月前
|
Linux 网络安全
防火墙iptable的设置总结
防火墙iptable的设置总结
流子
35 0
德迅云安全陈琦琦
|
7月前
|
监控 安全 网络安全
防火墙的设置主要是为了防范什么
防火墙的设置主要是为了防范什么
德迅云安全陈琦琦
77 0
小Lee
|
8月前
|
Shell 网络安全 Perl
关闭系统防火墙和SELinux
关闭系统防火墙和SELinux
小Lee
51 1
杭州小哥哥
|
10月前
|
Linux 网络安全
centos下防火墙设置
centos下防火墙设置
杭州小哥哥
222 0
不写代码!
|
10月前
|
Linux 网络安全
Linux | 防火墙设置
Linux | 防火墙设置
不写代码!
103 0
宝耶需努力
|
11月前
|
Linux 网络安全
centos防火墙规则设置
centos防火墙规则设置
宝耶需努力
237 0
宝耶需努力
|
11月前
|
网络协议 Linux 网络安全
CentOS 8防火墙常规设置命令记录
CentOS 8防火墙常规设置命令记录
宝耶需努力
129 0