当前位置: 首页 > wzjs >正文

南宁网站建设专家友情链接地址

wzjs 2025/7/27 1:02:45
南宁网站建设专家,友情链接地址,网站 网络架构,简述网站设计的原则文章目录 一、SELinux安全上下文1、SELinux简介(1)概念(2)核心思想(3)工作模式 2、基础操作命令(1)查看SELinux状态(2)切换工作模式 3、安全上下文&#xff0…

文章目录

  • 一、SELinux安全上下文
    • 1、SELinux简介
      • (1)概念
      • (2)核心思想
      • (3)工作模式
    • 2、基础操作命令
      • (1)查看SELinux状态
      • (2)切换工作模式
    • 3、安全上下文(Security Context)
      • (1)查看上下文
      • (2)修改上下文
  • 二、Linux防火墙-Firewalld
    • 1、概述
    • 2、Linux防火墙
      • (1)防火墙结构
      • (2)firewalld防火墙
      • (3)firewall-cmd命令用法

一、SELinux安全上下文

1、SELinux简介

(1)概念

​ SELinux(Security-Enhanced Linux)是Linux内核的**强制访问控制(MAC)**安全子系统,提供更细粒度的权限控制,防止进程或用户越权操作。

(2)核心思想

  • 最小权限原则:进程/用户只能访问其明确需要的资源。
  • 基于标签的访问控制:所有资源(文件、端口、进程)被赋予安全上下文(Security Context)。

(3)工作模式

模式描述
Enforcing强制执行策略,拒绝非法操作并记录日志。
Permissive仅记录违规操作,不阻止(用于调试)。
Disabled完全关闭SELinux(需重启生效)。

2、基础操作命令

(1)查看SELinux状态

[root@localhost ~]# getenforce
Enforcing

(2)切换工作模式

[root@localhost ~]# setenforce 0
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# setenforce 1
[root@localhost ~]# getenforce
Enforcing

注意:setenforce仅临时生效,永久修改需编辑 /etc/selinux/config 文件。

3、安全上下文(Security Context)

(1)查看上下文

ls -Z 查看文件/目录的上下文

[root@localhost ~]# ls -Z
unconfined_u:object_r:admin_home_t:s0 公共  unconfined_u:object_r:admin_home_t:s0 下载
unconfined_u:object_r:admin_home_t:s0 模板  unconfined_u:object_r:admin_home_t:s0 音乐
unconfined_u:object_r:admin_home_t:s0 视频  unconfined_u:object_r:admin_home_t:s0 桌面
unconfined_u:object_r:admin_home_t:s0 图片      system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
unconfined_u:object_r:admin_home_t:s0 文档

ps -Z -C nginx 查看进程的上下文

[root@localhost ~]# ps -Z -C nginx
LABEL                               PID TTY          TIME CMD
system_u:system_r:httpd_t:s0      97984 ?        00:00:00 nginx
system_u:system_r:httpd_t:s0      97985 ?        00:00:00 nginx
system_u:system_r:httpd_t:s0      97986 ?        00:00:00 nginx
system_u:system_r:httpd_t:s0      97987 ?        00:00:00 nginx
system_u:system_r:httpd_t:s0      97988 ?        00:00:00 nginx

(2)修改上下文

chcon命令

-t 设置安全上下文的类型部分

-u 设置安全上下文的用户部分

-r 设置安全上下文的角色部分

–reference 使用指定文件的安全上下文

-R 递归处理文件和目录

-h 显示帮助信息

二、Linux防火墙-Firewalld

1、概述

按表现形式划分:

​ 软件防火墙: 集成在系统内部,Linux系统: iptables、firewalld、ufw; windows系统下: windows defender

​ 硬件防火墙: 华为防火墙、思科防火墙、奇安信防火墙、深信服防火墙等

按技术划分:

​ 包过滤防火墙: 检查数据包的源IP、目的IP、源端口、目的端口、TCP的syn控制位

​ 七层防火墙:除了上述检查外,还会检查数据内容

防火墙的作用:

​ 阻止来自网络外部的攻击、进行流量控制

2、Linux防火墙

(1)防火墙结构

用户态:

iptables: 使用iptables命令对防火墙规则进行管理,必须深度理解网络技术和四表五链,对于初学者或者网络技术不达标的人员不友好

​ **firewalld:**使用firewall-cmd命令对防火墙进行管理,采用的是区域划分的形式。不需要连接底层的四表五链,对于初学者比较友好

ufw: 使用ufw命令对防火墙进行管理,命令简单易懂。

内核态:

四表: 从内核->用户的顺序: raw -> mangle -> nat -> filter

五链: input、output、forward、prerouting、postrouting

(2)firewalld防火墙

区域分类: block、dmz、drop、external、home、internal、public、trusted、work

区域功能:

public:公共区域,默认区域

public (active)target: defaulticmp-block-inversion: nointerfaces: ens160sources: services: cockpit dhcpv6-client sshports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

home: 家庭区域

[root@localhost ~]# firewall-cmd --zone=home --list-all
hometarget: defaulticmp-block-inversion: nointerfaces: sources: services: cockpit dhcpv6-client mdns samba-client sshports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

work: 工作区域

[root@localhost ~]# firewall-cmd --zone=work --list-all
worktarget: defaulticmp-block-inversion: nointerfaces: sources: services: cockpit dhcpv6-client sshports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

block: 堵塞区域

[root@localhost ~]# firewall-cmd --zone=block --list-all
blocktarget: %%REJECT%%icmp-block-inversion: nointerfaces: sources: services: ports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

drop: 丢弃区域

root@localhost ~]# firewall-cmd --zone=drop --list-all
droptarget: DROPicmp-block-inversion: nointerfaces: sources: services: ports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

trusted:完全信任区域

[root@localhost ~]# firewall-cmd --zone=trusted --list-all
trustedtarget: ACCEPTicmp-block-inversion: nointerfaces: sources: services: ports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

internal:内部区域

[root@localhost ~]# firewall-cmd --zone=internal --list-all
internaltarget: defaulticmp-block-inversion: nointerfaces: sources: services: cockpit dhcpv6-client mdns samba-client sshports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

external:外部区域

[root@localhost ~]# firewall-cmd --zone=external --list-all
externaltarget: defaulticmp-block-inversion: nointerfaces: sources: services: sshports: protocols: forward: yesmasquerade: yesforward-ports: source-ports: icmp-blocks: rich rules:

dmz: 非军事化管理区域

root@localhost ~]# firewall-cmd --zone=dmz --list-all
dmztarget: defaulticmp-block-inversion: nointerfaces: sources: services: sshports: protocols: forward: yesmasquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

(3)firewall-cmd命令用法

--list-*
--get-*
--set-*
--add-*
--remove-*
--change-*
--zone=
http://www.dtcms.com/wzjs/107176.html

相关文章:

  • 四川网站建设公司百家号关键词排名
  • 宝丰网站制作效果好重庆seo网站推广费用
  • 手机app软件开发定制网站搜索优化
  • 杭州建站平台狼雨seo网站
  • 中山建设网站wp博客seo插件
  • wordpress改模版广东seo外包服务
  • 怀化市住房建设局网站网站优化排名哪家好
  • 给人做时时彩网站建设犯法sem推广
  • 做一个网站先做前段 还是后端佛山百度seo点击软件
  • 怎么使用织梦做网站百度排名点击软件
  • 如何在网站中做内部链接seo专员工作容易学吗
  • 网站的内容规划怎么写百度贴吧网页入口
  • 建设银行的财务网站微信小程序建站
  • 电子工程网络信息技术专业seo网站推广免费
  • 简述网站制作基本流程网站推广与优化平台
  • 网站建设优化开发公司哪家好图片外链生成器
  • 宁波企业品牌网站建设永久免费域名申请
  • 中国建设人才网站搜索词热度查询
  • 辽源网站建设怎么在百度做免费推广
  • 营销型企业网站建设 广义的空间seo的中文含义是什么
  • 有名做网站公司网站互联网推广
  • 长沙弧度seo惠州自动seo
  • 网站建设规模与类别网络营销模式包括哪些
  • 做外贸自己公司的网站一定要吗微信指数
  • 测评网站怎么做全能搜
  • 太原做网站联系方式广告联盟官网
  • 如何在一个数据库做两个网站如何进行搜索引擎优化?
  • 前端开发人员上海搜索引擎关键词优化
  • 政府网站建设工作会讲话网络营销策略分析案例
  • html网站可以做访问统计吗企业网站关键词优化