SElinux的啓動、關閉和查看:
Selinux的三種模式:enforcing/ permissive/ disable
1,查看selinux的工作模式:getenforce
2,查看selinux的策略:/etc/selinux/config
3,切換模式:setenforce [0|1]
0:轉成permissive寬容模式
1:轉成enforcing強制模式
Selinux type的修改:chmon
Chcon [-R] [-t type] [-u user] [-r role] 文件
Chcon [-R] --reference=範例文件 文件
恢復成原有的selinux type:
Restorecon [-Rv] 文件/目錄
查詢與修改類型等:
Semanage {login|user|port|interface|fcontext|translation} -l 查詢的意思
Semanage fcontext -{a|d|m} [-frst] file_spec
-a:增加的意思
-d:刪除的意思
-m:修改的意思
查看selinux的策略:
Yum install setools-console
Seinfo [-Atrub]
-A:列出selinux的狀態、規則布爾值等
-t:列出selinux的所有tppe種類
-r:。。。。。。。。。。。。。。所有role種類
-u:。。。。。。。。。。。。。。所有user種類
-b:列出所有規則的種類
查詢詳細的規則:
Sesearch [--all] [-s主題類別] [-t 目標類別] [-b布爾值]
查看布爾值的狀態:
Getsebool [-a] [布爾值條款]
-a:列出目前系統上的所有布爾條款設置是開啓還是關閉
修改布爾值的狀態:
Setsebool [-P] 布爾值=[0|1]
-P:直接將設置值寫入配置文件
0:關閉布爾值
1:開啓布爾值
Selinux日誌文件記錄
1,setroubleshoot:需要yum安裝
Yum install setroubleshoot setroubleshoot-server
還需重啓auditd功能
/etc/init.d/auditd restart
錯誤信息和克服方法記錄在:/var/log/messages與/var/log/setroubleshoot/*中
2,修改配置文件/etc/setroubleshoot/setroubleshoot.cfg
可以使得錯誤發生時發送到郵件上或者控制檯上
修改console爲true
編輯/var/lib/setroubleshoot/email_alert_recipents添加賬戶及主機地址
root@localhost
1,查看內核是否啓動數據包轉發的功能
Cat /proc/sys/net/ipv4/ip_forward :若爲1則表示啓動了
2,修改轉發功能:
暫時可用:echo 1 > /proc/sys/net/ipv4/ip_forward
永久可用:
Vim /etc/sysctl.conf
修改net.ipv4.ip_forward值即可
Sysctl -p 立即生效
3,靜態路由:route命令即可
動態路由:Quagga或zebra軟件
配置文件在/etc/quagga/zebra.conf中
啓動zebra /etc/init.d/zebra start
設置ripd功能:/etc/quaaga/ripd.conf
4,iptables至少有3個默認的table
Filter 、 NAT 、 Mangle
5,iptables 規則的查看與清除:
查看:
iptables [-t tables] -L [-nv]
-t tables:有filter、nat等
-n:表示不進行ip與hostname的反查
-v:列出更多的信息
Iptables-save [-t table]能夠列出更仔細的規則
清除:
Iptables [-t table] [-FXZ]
-F:清除已制定的規則
-X:除掉用戶自定義的chain
-Z:將所有的chain的計數與流量統計歸零
6,定義默認策略:
Iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]
-P:定義策略
7,定義策略:
Iptables [-AI 鏈名] [-io 網絡接口] [-p 協議] [-s 來源IP/網絡] [-d 目標IP/網絡] -j [ACCEPT | DROP | REJECT | LOG]
-A:增加一條新規則,排在最後面
-I:增加一條新規則,排在最前面
鏈:有INPUT/OUTPUT/FORWARD等
-i:數據包所進入的那個網絡接口
-o:數據包所傳出的按個網絡接口
-p:協議。例:tcp、udp等
-s:來源網絡
若規則爲“不許”時,則加上“!”即可
-d:目標網絡
-j:接操作
8,TCP/UDP規則對比:
Iptables [-AI 鏈名] [-io 網絡接口] [-p 協議] [-s 來源IP/網絡] [--sport 端口範圍] [-d 目標IP/網絡] [-dport 端口範圍] -j [ACCEPT | DROP | REJECT | LOG]
9,iptables外掛模塊:mac與state
Iptables -A INPUT [-m state|mac ] [--state 狀態]
State:狀態模塊
Mac:網卡硬件地址
狀態:INVALID/ ESTABLISHED/ NEW/ RELATED
10,ICMP數據包規則的比對:
Iptables -A INPUT [-p icmp] [--icmp-type 類型] -j [ACCEPT|DROP]
11,ipv4的內核管理功能:/proc/sys/net/ipv4/*
1,阻斷SYN Flooding:/proc/sys/net/ipv4/tcp_syncookies爲1
2,阻斷ping floodind/of death:/proc/sys/net/ipv4/icmp-echo_ignore_broadcast爲1
建議修改系統設置值:/etc/sysctl.conf