linux的SELinux的设置及防火墙服的设置

security-Enhanced  linux

美国NSA国家局主导开发,一套增强Linux系统安全的强制访问控制体系,

集成到Linux内核(2.6及以上)中运行。

RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,

以及管理工具。

SELinux的运行模式

enforcing(强制)

permissive(宽松)

disabled(彻底禁用)

getenforce 查看当前SElinux状态

setenforce  0 或 1  设置当前SELinux状态

永久配置:vim /etc/selinux/config

SELINUX=premissive

防火墙策略管理(Firewall)

作用: 隔离

阻止进内网,允许出外网

系统服务器:firewalld

管理工具:  firewall-cmd(命令)

firewall-cmd(图形)

查看防火墙服务状态

systemctl   status   firewalld.service

根据所在的网络场所区分,预设保护规则集。

public:仅允许访问本机的sshd等少数几个服务。

trusted:允许任何访问。

block:拒绝任何来访请求。

drop:丢弃任何来访的数据。

防火墙判断的规则:匹配及停止。

1.首先看请求(客户端)当中的源IP地址,所有区域中是否有

对于该IP地址的策略,如果有则该请求进入该区域。

2.直接进入默认区域。

firewall-cmd  --zone=public  --list-all   查看区域规则信息

firewall-cmd  --zone=public  --add-service=http  添加服务

--permanent 选项:实现永久设置

firewall-cmd  --permanent  --zone=public  --add-service=ftp

firewall-cmd  --reload         重新加载防火墙

修改默认的区域,不需要加上--permanent

firewall-cmd  --set-default-zone=block   修改默认区域

firewall-cmd  --get-default-zone         查看默认区域

实现本机的端口映射

本地应用的端口重定向(端口1---》端口2)

从客户机访问端口1的请求,自动映射到本机端口2。

例:访问两个地址可以看到相同的页面

firefox http://172.25.0.11:5423--->172.25.0.11:80

firewall-cmd --permanent  --zone=public

--add-forward-port=port=5423:proto=tcp:toport=80

firewall-cmd  --reloa

本文转自夜流璃雨 51CTO博客,原文链接:http://blog.51cto.com/13399294/1982664,如需转载请自行联系原作者

上一篇:windows7/windows2008修改远程桌面连接并修改防火墙配置脚本
下一篇:Sonicwall 防火墙说明书在线观看