selinux和防火墙
第七章 selinux
一、selinux的说明
二、selinux的工作原理
策略内还会有详细的规则( rule )来指定不同的服务开放某些资源的访问与否目前主要的策略有:
#查看文件的安全上下文[root@localhost ~]# ls -Z
Identify : role : type :
| 身份标识( Identify ) | root | 表示 root 的账号身份 |
| system_u | 表示程序方面的标识,通常就是进程 | |
| unconfined_u | 代表的是一般用户账号相关的身份 | |
| 角色( role ) | object_r | 代表的是文件或目录等文件资源 |
| system_r | 代表的是进程 | |
| 类型( type ) | type | 在文件资源上面称为类型 |
| domain | 在主体程序中则称为域 | |
| domain 需要与 type 搭配 则该程序才能够顺利读取文件资源 | ||
| 最后一个字段是和 MLS 和 MCS 相关的东西,代表灵敏度 一般用 s0 、 s1 、 s2 来命名 数字代表灵敏度的分级。数值越大、灵敏度越高 | ||
三、selinux的启动、关闭与查看
(一)SELinux三种模式
| enforcing | 强制模式 | 代表 SELinux 正在运行中,开始限制 domain/type |
| permissive | 宽容模式 | 代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type的访问 |
| disabled | 关闭 | SELinux 并没有实际运行 |
#查看目前的模式[root@localhost ~]# getenforce#查看目前的selinux使用的策略[root@localhost ~]# sestatusSELinux status: enabled # 是否启用selinuxSELinuxfs mount: /sys/fs/selinux #selinux的相关文件数据挂载点SELinux root directory: /etc/selinuxLoaded policy name: targeted #目前的策略Current mode: enforcingMode from config file: enforcingPolicy MLS status: enabledPolicy deny_unknown status: allowedMax kernel policy version: 31#查看selinux的策略:[root@localhost ~]# vim /etc/selinux/config改变策略之后需要重新启动;如果由enforcing或permissive改成disabled,或由disabled改为其它两个,也必须要重新启动。将selinux模式在enforcing和permissive之间切换的方法为:setenforce 0 转换成permissive宽容模式setenforce 1转换成enforcing强制模式
(二)修改安全上下文
-R :连同该目录下的子目录也同时修改-t :后面接安全上下文的类型字段-u :后面接身份识别-r :后面接角色chcon [-R] --reference = 范例文件 文件 将文件的安全上下文按照范例文件修改
restorecon [ -Rv ] 文件 / 目录
-R :连同子目录一起修改-v :将过程显示到屏幕上-l: 为查询-a :增加一些目录的默认安全上下文的设置-m :修改-d :删除restorecon 怎么知道每个目录记载的默认 selinux type 类型:因为系统将每个目录的默认selinux type类型记录在 /etc/selinux/targeted/contexts/ 目录内。但是该目录内有很多不同的数据,可以用semanage 这个命令的功能来查询与修改:semanage { login|user|port|interface|fcontext|translation } -lsemanage fcontext - {a|d|m} [-frst] file_spec
第八章 防火墙
一、什么是防火墙
位于内部网和外部网之间的屏障,按照系统管理员预先定义好的规则来控制数据包的进出
硬件防火墙:
- 由厂商设计好的主机硬件
- 操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉
软件防火墙:
数据包过滤:分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,决定该 连接为放行或抵挡的机制由于这种方式可以直接分析数据包头部数据,包括硬件地址,软件地址, TCP、 UDP、 ICMP 等数据包的信息都可以进行过滤分析,主要分析 OSI 七层协议的 2、 3 、 4 层linux 的 Netfilter 机制可以进行的分析工作有:
- 防火墙并不能有效阻挡病毒或木马程序:假设主机开放了www服务,防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙是阻止不了的
- 防火墙对于内部LAN的攻击无能为力:防火墙对于内部的规则设置通常比较少,所以就很容易造成内部员工对于网络无用或滥用的情况
netfilter 数据包的过滤机制是由 linux 内核内建的,不同的内核版本使用的设置防火墙策略的软件不一 样。iptables 服务与 firewalld 服务只是用来定义防火墙策略的“ 防火墙管理工具 ” ,作用都是用于维护规则,而真正使用规则干活的是内核的netfilter。
二、iptables
(一)iptables介绍
- ptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类
- 在进行路由选择前处理数据包,用于目标地址转换(PREROUTING)
- 处理流入的数据包(INPUT)
- 处理流出的数据包(OUTPUT)
- 处理转发的数据包(FORWARD)
- 在进行路由选择后处理数据包,用于源地址转换(POSTROUTING)
- iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量
[root@localhost ~]# yum install iptables -y[root@localhost ~]# systemctl stop firewalld[root@localhost ~]# systemctl start iptables[root@server ~]# iptables -F #清空所有的规则表,清空之后客户端可以访问ssh和http服务
语法格式:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
| 参数 | 说明 | |
| -t | 对指定的表进行操作, table 必须是 raw , nat , filter , mangle 中的一个。默认是 filter表。 | |
| -p | 指定要匹配的数据包协议类型 | |
| -s | --source address[/mask][,...] | 把指定的一个或者一组地址作为源地址,按此规则进行过滤。当后面没有mask 时, address 是一个地址,比如: 192.168.1.1 ;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0 |
| -d | --destination address[/mask][,...] | 地址格式同上,但这里指定地址为目的地址,按此进行过滤 |
| -i | --out-interface name | 指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT , FORWARD , PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反 |
| -o | --out-interface name | 指定数据包出去的网络接口。只对 OUTPUT , FORWARD ,POSTROUTING 三个链起作用 |
| -L | --list [chain] | 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规 则 |
| -A | --append chain rule-specification | 在指定链 chain 的末尾插入指定的规则,也就是 说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定 |
| -I | --insert chain [rulenum] rule-specification | 在链 chain 中的指定位置插入一条或多条 规则。如果指定的规则号是 1 ,则在链的头部插入。这也是默认的情况,如果没有指定规 则号 |
| -D | --delete chain rule-specification -D, --delete chain rulenum | 在指定的链 chain 中删除 一个或多个指定规则 |
| -R num | Replays 替换 / 修改第几条规则 | |
| -P | --policy chain target | 为指定的链 chain 设置策略 target 。注意,只有内置的链才允许有策略,用户自定义的是不允许的 |
| -F | --flush [chain] | 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则 |
| -N | --new-chain chain | 用指定的名字创建一个新的链 |
| -X | --delete-chain [chain] | 删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链 |
| -E | --rename-chain old-chain new-chain | 用指定的新名字去重命名指定的链。这并不会对 链内部造成任何影响 |
| -Z | --zero [chain] | 把指定链,或者表中的所有链上的所有计数器清零 |
| -j | --jump target < 指定目标 > | 即满足某条件时该执行什么样的动作。 target 可以是内置的目标,比如 ACCEPT ,也可以是用户自定义的链 |
| -h | 显示帮助信息 |
(二)实验
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT[root@localhost ~]# iptables -L --line-numbers[root@localhost ~]# iptables -D INPUT 1
实验二:禁止所有人ssh远程登录该服务器
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT#删除设置的拒绝ssh连接:[root@localhost Desktop]# iptables -D INPUT 1
拒绝172.24.8.129通过ssh远程连接服务器:[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 22 -j REJECT允许172.24.8.129访问服务器的web服务:[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 80 -j ACCEPT
三、firewalld
(一)firewalld介绍
| 区域 | 默认规则策略 |
| 阻塞区域 ( block ) | 拒绝流入的流量,除非与流出的流量相关 |
| 工作区域 ( work ) | 拒绝流入的流量,除非与流出的流量相关 |
| 家庭区域 ( home ) | 拒绝流入的流量,除非与流出的流量相关 |
| 公共区域 ( public ) | 不相信网络上的任何计算机,只有选择接受传入的网络连接 |
| 隔离区域 ( DMZ ) | 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接 |
| 信任区域 ( trusted ) | 允许所有的数据包 |
| 丢弃区域 ( drop ) | 拒绝流入的流量,除非与流出的流量相关 |
| 内部区域 ( internal ) | 等同于 home 区域 |
| 外部区域 (external ) | 拒绝流入的流量,除非与流出的流量有关;而如果流量与 ssh 服务相关,则允许流量 |
[root@localhost ~]# rpm -qa | grep firewallfirewall-config-0.3.9-14.el7.noarchfirewalld-0.3.9-14.el7.noarch
firewall-cmd命令的参数说明如下:
| 参数 | 作用 |
| --get-default-zone | 查询默认的区域名称 |
| --set-default-zone=< 区域名称 > | 设置默认的区域,使其永久生效 |
| --get-zones | 显示可用的区域 |
| --get-services | 显示预先定义的服务 |
| --get-active-zones | 显示当前正在使用的区域与网卡名称 |
| --add-source= | 将源自此 IP 或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此 IP 或子网的流量导向某个指定区域 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=< 服务名 > | 设置默认区域允许该服务的流量 |
| --add-port=< 端口号 / 协议 > | 设置默认区域允许该端口的流量 |
| --remove-service=< 服务名 > | 设置默认区域不再允许该服务的流量 |
| --remove-port=< 端口号 / 协议 > | 设置默认区域不再允许该端口的流量 |
| --reload | 让 “ 永久生效 ” 的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on | 开启应急状况模式 |
| --panic-off | 关闭应急状况模式 |
[root@localhost ~]# systemctl stop iptables
[root@localhost ~]# systemctl restart firewalld[root@localhost ~]# firewall-cmd --help #查看帮助[root@localhost ~]# firewall-cmd --list-all #查看所有的规则[root@localhost ~]#firewall-cmd --permanent --add-service=服务名使用firewalld配置的防火墙策略默认为当前生效,会随着系统的重启而失效。如果想让策略一直存在,就需要使用永久模式了,即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就可以永久生效了,最后想要使用这种方式设置的策略生效,只能重启或者输入命令:firewall-cmd --reload。
#禁止某个ip地址进行ssh访问,应该写成ip/32#配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口)[root@system1 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.24.8.0/24" forward-port port="5423" protocol="tcp" toport="80"'
相关文章:
selinux和防火墙
第七章 selinux 一、selinux的说明 SELinux:安全强化的 linux,Security-Enhanced Linux的缩写 SELinux : 由美国国家安全局( NSA )开发,目的是为了避免资源的误用 SELinux: 是对程序、文件等权…...
【vue for beginner】Composition API 和 Options API 的区别
🌈Don’t worry , just coding! 内耗与overthinking只会削弱你的精力,虚度你的光阴,每天迈出一小步,回头时发现已经走了很远。 📗概念 vue2中的方式叫Options API ,vue3中叫Composition API。 Composition…...
jmeter5.6.3安装教程
一、官网下载 需要提前配置好jdk的环境变量 jmeter官网:https://jmeter.apache.org/download_jmeter.cgi 选择点击二进制的zip文件 下载成功后,默认解压下一步,更改安装路径就行(我安装在D盘) 实用jmeter的bin目录作为系统变量 然后把这…...
关于Spring基础了解
Spring简介 Spring框架是一个开源的Java应用框架,旨在简化企业级应用程序的开发。它提供了一系列强大的工具和服务,帮助开发者构建高质量的Java应用程序。Spring框架的核心理念是使开发过程更加模块化、可测试和可维护。 主要特性 依赖注入(…...
输入json 达到预览效果
下载 npm i vue-json-pretty2.4.0 <template><div class"newBranchesDialog"><t-base-dialogv-if"addDialogShow"title"Json数据配置"closeDialog"closeDialog":dialogVisible"addDialogShow":center"…...
DataLoade类与list ,iterator ,yield的用法
1 问题 探索DataLoader的属性,方法 Vscode中图标含意 list 与 iterator 的区别,尤其yield的用法 2 方法 知乎搜索DataLoader的属性,方法 pytorch基础的dataloader类是 from torch.utils.data.dataloader import Dataloader 其主要的参数如下&…...
model_selection.train_test_split函数介绍
目录 model_selection.train_test_split函数实战 model_selection.train_test_split函数 model_selection.train_test_split 是 Scikit-Learn 中用于将数据集拆分为训练集和测试集的函数。这个函数非常有用,因为在机器学习中,我们通常需要将数据集分为训…...
Springboot 读取 resource 目录下的Excel文件并下载
代码示例: GetMapping("/download") public void download(HttpServletResponse response) {try {String filename "测试.xls";OutputStream outputStream response.getOutputStream();// 获取springboot resource 路径下的文件InputStream inputStream…...
SQL EXISTS 子句的深入解析
SQL EXISTS 子句的深入解析 引言 SQL(Structured Query Language)作为一种强大的数据库查询语言,广泛应用于各种数据库管理系统中。在SQL查询中,EXISTS子句是一种非常实用的工具,用于检查子查询中是否存在至少一行数…...
33.Java冒泡排序
冒泡排序: 一种排序的方式,对要进行排序的数据中相邻的数据进行两两比较,将较大的数据放在后面,依次对所有的数据进行操作,直至所有数据按要求完成排序. package Javase;import sun.security.util.ByteArrayTagOrder…...
Docker容器ping不通外网问题排查及解决
Docker容器ping不通外网问题排查及解决 解决方案在最下面,不看过程的可直接拉到最下面。 一台虚拟机里突然遇到docker容器一直访问外网失败,网上看到这个解决方案,这边记录一下。 首先需要明确docker的网桥模式,网桥工作在二层…...
JavaScript 库 number-precision 如何使用?
number-precision 是一个 JavaScript 库,主要用于处理 JavaScript 中的数字精度问题。它提供了一些方法,帮助你进行数字运算时保持精度,尤其是在涉及到浮点数运算时,它能够避免传统 JavaScript 中精度丢失的问题。 例如ÿ…...
faiss库中ivf-sq(ScalarQuantizer,标量量化)代码解读-2
文件ScalarQuantizer.h 主要介绍这里面的枚举以及一些函数内容:QuantizerType、RangeStat、ScalarQuantizer、train、compute_codes、decode、SQuantizer、FlatCodesDistanceComputer、get_distance_computer、select_InvertedListScanner QuantizerType 量化类型…...
性能测试工具Grafana、InfluxDB和Collectd的搭建
一、性能监控组成简介 1、监控能力分工:这个系统组合能够覆盖从数据采集、存储到可视化的整个监控流程。Collectd可以收集各种系统和应用的性能指标,InfluxDB提供高效的时序数据存储,而 Grafana 则将这些数据以直观的方式呈现出来。2,实时性能监控:对于需要实时了解系统状…...
【ruby on rails】dup、deep_dup、clone的区别
一、区别 dup 浅复制:dup 方法创建对象的浅复制。 不复制冻结状态:dup 不会复制对象的冻结状态。 不复制单例方法:dup 不会复制对象的单例方法。 deep_dup 深复制:deep_dup 方法创建对象的深复制,递归复制嵌套的对象。…...
原生微信小程序画表格
wxml部分: <view class"table__scroll__view"><view class"table__header"><view class"table__header__item" wx:for"{{TableHeadtitle}}" wx:key"index">{{item.title}}</view></…...
Python实现IP代理池
文章目录 Python实现IP代理池一、引言二、步骤一:获取代理IP1、第一步:爬取代理IP2、第二步:验证代理IP的有效性 三、步骤二:构建IP代理池四、使用示例1、完整的使用示例2、注意事项3、处理网络问题 五、总结 Python实现IP代理池 …...
互联网直播/点播EasyDSS视频推拉流平台视频点播有哪些技术特点?
在数字化时代,视频点播应用已经成为我们生活中不可或缺的一部分。监控技术与视频点播的结合正悄然改变着我们获取和享受媒体内容的方式。这一变革不仅体现在技术层面的进步,更深刻地影响了我们。 EasyDSS视频直播点播平台是一款高性能流媒体服务软件。E…...
32.4 prometheus存储磁盘数据结构和存储参数
本节重点介绍 : prometheus存储磁盘数据结构介绍 indexchunkshead chunksTombstoneswal prometheus对block进行定时压实 compactprometheus 查看支持的存储参数 prometheus存储示意图 内存和disk之间的纽带 wal WAL目录中包含了多个连续编号的且大小为128M的文件,…...
C7.【C++ Cont】范围for的使用和auto关键字
目录 1.知识回顾 2.范围for 格式 使用 运行结果 运行过程 范围for的本意 作用 注意 3.底层分析范围for的执行过程 反汇编代码 分析 4.auto关键字 格式 基本用法 在范围for中使用auto 1.知识回顾 for循环的使用参见25.【C语言】循环结构之for文章 2.范围for C…...
联通云服务器部署老项目tomcat记录
1.先在服务器上安装mysql和tomcat 2.tomcat修改端口 3.在联通云运控平台配置tomcat访问端口(相当于向外部提供可访问端口) 4.将tomcat项目放在服务器tomcat的webapps里面 5.在mysql里创建项目数据库,运行sql创建表和导入数据 6.在配置文…...
剪映自动批量替换视频、图片素材教程,视频批量复刻、混剪裂变等功能介绍
一、三种批量替换模式的区别 二、混剪裂变替换素材 三、分区混剪裂变替换素材 四、按组精确替换素材 五、绿色按钮教程 (一)如何附加音频和srt字幕 (二)如何替换固定文本的内容和样式 (三)如何附加…...
el-dialog中调用resetFields()方法重置表单报错
前言 在开发中,弹框和表单是两个常见的组件,它们通常一起使用以实现用户交互和数据输入。然而,当我们尝试在弹框中调用表单的 resetFields() 方法时,有时会遇到报错的情况。 一、用法错误 确保 this.$refs[ruleForm].resetFields…...
分布式系统接口,如何避免重复提交
分布式系统接口,如何避免重复提交 1、基于Token的幂等设计原理实现步骤技术选型 2、基于Token的幂等设计原理实现步骤适用场景 3、幂等性设计原理实现方式 4、分布式锁原理实现方式适用场景 5、请求去重原理实现方式 6.前端防护原理实现方式适用场景 7.延迟队列原理…...
AI 声音:数字音频、语音识别、TTS 简介与使用示例
在现代 AI 技术的推动下,声音处理领域取得了巨大进展。从语音识别(ASR)到文本转语音(TTS),再到个性化声音克隆,这些技术已经深入到我们的日常生活中:语音助手、自动字幕生成、语音导…...
【论文速读】| 人工智能驱动的网络威胁情报自动化
基本信息 原文标题:AI-Driven Cyber Threat Intelligence Automation 原文作者:Shrit Shah, Fatemeh Khoda Parast 作者单位:加拿大圭尔夫大学计算机科学学院 关键词:网络威胁情报,AI自动化,攻击技术和…...
什么是域名监控?
域名监控是持续跟踪全球域名系统(DNS)中变化以发现恶意活动迹象的过程。组织可以对其拥有的域名进行监控,以判断是否有威胁行为者试图入侵其网络。他们还可以对客户的域名使用这种技术以执行类似的检查。 你可以将域名监控比作跟踪与自己实物…...
vue3 发送 axios 请求时没有接受到响应数据
<script setup> import Edit from ./components/Edit.vue import axios from axios import { onMounted,ref } from vue// TODO: 列表渲染 //装数据的列表 const list ref([]) const count ref(0) const getList async () > {//通过发送 /list 请求从后端拿到列表数…...
前端使用fontfaceobserver库实现字体设置
要使用FontFaceObserver来加载设置项目本地的字体,先确保字体文件位于项目中或者可以从服务端获取到,这样就可以使用FontFaceObserver来检测并加载这些字体 主要有以下几步: npm或者yarn安装引入fontfaceobserver字体资源引入和font-face配置…...
【人工智能】Python常用库-PyTorch常用方法教程
PyTorch 是一个强大的开源深度学习框架,以其灵活性和动态计算图而广受欢迎。以下是 PyTorch 的详细教程,涵盖从基础到实际应用的使用方法。 1. 安装与导入 1.1 安装 PyTorch 访问 PyTorch 官方网站,根据系统、Python 版本和 CUDA 支持选择安…...
营销型网站建设 价格/店铺推广渠道有哪些
起因 最近临近双十一,你们也知道,电商类公司到双十一的时候有多忙。压测、稳定性、实时大屏,一堆事情要在双十一之前完成。加上我们最近在做数据平台相关的事情,简直忙到爆炸。就在这么忙的时候,还踩到了Flink中Topn的…...
网站备案后 换服务器/企业网站建设制作
(1).Ansible具有如下特点: 部署简单,只需在主控端部署Ansible环境,被控端无需做任何操作; 默认使用SSH协议对设备进行管理; 主从集中化管理; 配置简单、功能强大、扩展性强; 支持AP…...
诸城市房产信息网/网站seo基础优化
用了多年vue 今天对自己了解的render 做一个梳理 一、使用template模板 先从vue 初始化开始: 众所周知项目的main.js中定义了 var app new Vue({})这vue初始化操作 其实他会执行到 这个方法中的_init函数,在这个方法执行一些列的初始化后,…...
备案号 不放在网站首页/镇江关键字优化公司
Excel插件可读取和编辑NetCDF文件。 下载最新版本NetCDF4Excel_3_3 欢迎使用NetCDF4Excel 文档 Wiki。 英文(pdf) 法语(pdf) 。 发布页面发布。 报告问题...
东莞网站建设建网站/灰色行业seo
本文作者:薄荷糖微微凉 Destoon B2B网站管理系统是一套完善的B2B(电子商务)行业门户解决方案。系统基于PHPMySQL开发,采用B/S架构,模板与程序分离,源码开放。模型化的开发思路,可扩展或删除任何…...
怎么做动态网站系统/seo优化教程培训
题目描述:输入两棵二叉树 A,B,判断 B 是不是 A 的子结构。(ps:我们约定空 树不是任意一个树的子结构)思路:若根节点相等,利用递归比较他们的子树是否相等,若根节点不相等…...