• Security-Enhanced Linux-----相當於一個保安
– 美國NSA國家安全局主導開發,一套增強Linux系統安
全的強制訪問控制體系
– 集成到Linux內核(2.6及以上)中運行
– RHEL7基於SELinux體系針對用戶、進程、目錄和文件
提供了預設的保護策略,以及管理工具
• SELinux的運行模式
– enforcing(強制)、permissive(寬鬆)
– disabled(徹底禁用)
[root@server0 ~]# getenforce #查看當前SELinux狀態
Enforcing
[root@server0 ~]# setenforce 0 #設置當前SELinux狀態
[root@server0 ~]# getenforce
Permissive
固定配置:
[root@server0 ~]# vim /etc/selinux/config
SELINUX=permissive
補充:vim 命令模式
C(大寫):刪除光標之後到行尾,並且進入插入模式
#####################################################
配置聚合連接(網卡綁定)
HSRP 備份網關設備
路由器1 路由器2
192.168.1.254 192.168.1.253
活躍 備份
虛擬路由器
192.168.1.200
聚合連接 備份網卡設備
eth1 eth2
team
192.168.1.10
• team,聚合連接(也稱爲鏈路聚合)
– 由多塊網卡(team-slave)一起組建而成的虛擬網卡,
即“組隊”
– 作用1:輪詢式(roundrobin)的流量負載均衡
– 作用2:熱備份(activebackup)連接冗餘
熱備份配置 : {"runner":{"name":"activebackup"}}
man幫助輔助記憶
/example #全文查找example
#按n 跳轉下一個匹配
[root@server0 ~]# man teamd.conf
/example #全文查找example
#按n 跳轉下一個匹配
一、添加team團隊設備
# nmcli connection add type team
con-name team0 ifname team0
config {"runner":{"name":"activebackup"}}
# cat /etc/sysconfig/network-scripts/ifcfg-team0
# ifconfig team0
二、添加成員
# nmcli connection add type team-slave
ifname eth1 master team0
# nmcli connection add type team-slave
ifname eth2 master team0
三、配置team0的IP地址
# nmcli connection modify team0
ipv4.method manual
ipv4.addresses 192.168.1.1/24
connection.autoconnect yes
四、激活team0
# nmcli connection up team-slave-eth1 #激活從設備eth1
# nmcli connection up team-slave-eth2 #激活從設備eth2
# nmcli connection up team0 #激活主設備team0
五、驗證
# teamdctl team0 state #專用於查看team信息
刪除
# nmcli connection delete team-slave-eth1
# nmcli connection delete team-slave-eth2
# nmcli connection delete team0
#####################################################
配置IPv6地址
• IPv6 地址表示
– 128個二進制位,冒號分隔的十六進制數
– 每段內連續的前置 0 可省略、連續的多個 : 可簡化爲 ::
# nmcli connection modify 'System eth0'
ipv6.method manual
ipv6.addresses 2003:ac18::305/64
connection.autoconnect yes
# nmcli connection up 'System eth0'
# ifconfig eth0
# ping6 2003:ac18::305
###################################################
alias別名設置
• 查看已設置的別名
– alias [別名名稱]
• 定義新的別名
– alias 別名名稱= '實際執行的命令行'
• 取消已設置的別名
– unalias [別名名稱]
用戶個性化配置文件
• 影響指定用戶的 bash 解釋環境
– ~/.bashrc,每次開啓 bash 終端時生效
全局環境配置
• 影響所有用戶的 bash 解釋環境
– /etc/bashrc,每次開啓 bash 終端時生效
[root@server0 ~]# vim /root/.bashrc #影響root文件
alias hello='echo hello'
[root@server0 ~]# vim /home/student/.bashrc #影響student文件
alias hi='echo hi'
[root@server0 ~]# vim /etc/bashrc #全局配置文件
alias haha='echo xixi'
退出遠程登陸,從新遠程server0驗證
[root@server0 ~]# hello #成功
[root@server0 ~]# hi #失敗
[root@server0 ~]# haha #成功
[root@server0 ~]# su - student
[student@server0 ~]$ hello #失敗
[student@server0 ~]$ hi #成功
[student@server0 ~]$ haha #成功
[student@server0 ~]$ exit
####################################################
防火牆策略管理(firewall)
一、搭建基本Web服務
服務端: httpd(軟件)
1.server0上安裝httpd軟件
2.server0啓動httpd服務,設置開機自起
默認情況下:Apache沒有提供任何頁面
默認Apache網頁文件存放路徑:/var/www/html
默認Apache網頁文件名稱:index.html
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd
[root@server0 ~]# vim /var/www/html/index.html
<marquee><font color=green><h1>My First Web
[root@server0 ~]# firefox 172.25.0.11
二、FTP服務的搭建
服務端: vsftpd(軟件)
1.server0上安裝 vsftpd軟件
2.server0啓動 vsftpd服務,設置開機自起
默認共享的位置:/var/ftp
測試
[root@server0 ~]# firefox ftp://172.25.0.11
###################################################
防火牆策略管理(firewall)
作用:隔離---------------允許出站,阻止入站
阻止入站,允許出站
• 系統服務:firewalld
• 管理工具:firewall-cmd(命令)、firewall-config(圖形)
查看防火牆服務狀態
[root@server0 ~]# systemctl status firewalld.service
• 根據所在的網絡場所區分,預設保護規則集
– public:僅允許訪問本機的sshd等少數幾個服務
– trusted:允許任何訪問
– block:拒絕任何來訪請求
– drop:丟棄任何來訪的數據包
防火牆判斷的規則:匹配及停止
1.首先看請求(客戶端)當中的源IP地址,所有區域中是否有對於改IP地址的策略,如果有則該請求進入該區域
2.進入默認區域
虛擬機desktop0:
# firefox http://172.25.0.11 #訪問失敗
# firefox ftp://172.25.0.11 #訪問失敗
虛擬機server0:
# firewall-cmd --get-default-zone #查看默認區域
# firewall-cmd --zone=public --list-all
# firewall-cmd --zone=public --add-service=http #添加服務
# firewall-cmd --zone=public --list-all #查看區域規則信息
虛擬機desktop0:
# firefox http://172.25.0.11 #訪問成功
# firefox ftp://172.25.0.11 #訪問失敗
虛擬機server0:
# firewall-cmd --zone=public --add-service=ftp
# firewall-cmd --zone=public --list-all
虛擬機desktop0:
# firefox ftp://172.25.0.11 #訪問成功
#####################################################
--permanent選項:實現永久設置
虛擬機server0:
# firewall-cmd --reload #重新加載防火牆
# firewall-cmd --zone=public --list-all
# firewall-cmd --permanent --zone=public --add-service=ftp
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --reload #重新加載防火牆
# firewall-cmd --zone=public --list-all
####################################################
修改默認的區域,不需要加上--permanent
虛擬機desktop0:
# ping 172.25.0.11 #可以通信
虛擬機server0:
# firewall-cmd --set-default-zone=block #修改默認區域
# firewall-cmd --get-default-zone #查看默認區域
虛擬機desktop0:
# ping 172.25.0.11 #不可以通信
虛擬機server0:
# firewall-cmd --set-default-zone=drop
# firewall-cmd --get-default-zone
虛擬機desktop0:
# ping 172.25.0.11 #通信無反饋
######################################################
虛擬機server0:
# firewall-cmd --permanent --zone=public --add-source=172.25.0.10
# firewall-cmd --zone=public --list-all
# firewall-cmd --reload
# firewall-cmd --zone=public --list-all
虛擬機desktop0:
# firefox http://172.25.0.11
##################################################
實現本機的端口映射
• 本地應用的端口重定向(端口1 --> 端口2)
– 從客戶機訪問 端口1 的請求,自動映射到本機 端口2
– 比如,訪問以下兩個地址可以看到相同的頁面:
虛擬機desktop0:
# firefox http://172.25.0.11:5423-------》172.25.0.11:80
虛擬機server0:
# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80
# firewall-cmd --reload
# firewall-cmd --zone=public --list-all
虛擬機desktop0:
# firefox http://172.25.0.11:5423