红帽认证RedHat-RHCSA 网络配置和防火墙管理

2023-10-16 08:24:05 浏览数 (2)

查看网络接口信息

代码语言:javascript复制
使用命令查看网络信息
  
查看网络接口信息 
    Ifconfig
  
测试网络连接状态
    ping
  
查看网关地址
    route
  
查看主机名称信息 
    hostname
  
查看DNS服务器
    nslookup
网络的基本配置

通过修改配置文件配置网络信息(需要重启网络服务使配置生效,配置会永久有效) 网络配置工具: 图形界面:NetworkManager服务 命令界面:nmcli 重启网络服务: systemctl restart NetworkManager nmcil connection down/up ip地址

网卡配置文件 存放位置:/etc/sysconfig/network-scripts/ 命名格式:ifcfg-0 ​ 主机名称配置文件 ​ /etc/sysconfig/network ​ 停止或启动指定网络接口 ​ nmcli connection down ens ; nmcli connection up ens

网络接口配置文件
网络配置
代码语言:javascript复制
使用vi编辑器编辑配置网卡文件,配置信息如下:
     IP:192.168.0.(100 X)
     子网掩码:255.255.255.0
     默认网关:192.168.0.254
     DNS:192.168.0.254
     主机名:serverX.example.com
     (注:X为编号)
 重启网卡并验证IP地址

测试与其他主机的网络连接路径

域名查询

nslookup命令可进行域名的查询

域名服务器配置文件

系统使用的DNS服务器的ip地址保存在“resolv.conf”文件中

代码语言:javascript复制
nameserver配置项用于设置系统使用的DNS服务器地址
 DNS服务器的ip地址
设置主机名称
本地主机名称解析文件
本机名称配置文件
查看和修改网络配置

查看ip地址和子网掩码: ip addr(ifconfig) /etc/sysconfig/network-scripts/ifcfg-eth0 查看路由和默认网关:ip route(route) /etc/sysconfig/network-scripts/ifcfg-eth0 查看系统主机名:hostname /etc/sysconfig/network 查看DNS服务器地址:nslookup(host) /etc/resolv.conf

防火墙的配置

什么是防火墙

防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻ji能力。 在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。

使用web控制台配置防火墙服务
代码语言:javascript复制
使用web控制台来配置防火墙服务,请单击“重用我的密码以执行特权任务”选项以特权权限进行登录。允许用户以sudo权限进行修改防火墙服务的命令
代码语言:javascript复制
单击右侧导航菜单中的Networking选项,以显示主网络页面中的Firewall部分,单击Firewall链接,以访问允许的服务列表
代码语言:javascript复制
允许的服务列表是指防火墙当前允许的那些服务,单击服务名称左侧的箭头(>)可查看服务详细信息,要添加服务,请单击Firewall Allowed Services页面右上角的Add Services... 按钮

使用web控制台配置防火墙

代码语言:javascript复制
选择服务,在Filter Services 文本框中输入选择内容,以http为例,搜索文本框中输入字符串http,以查找包含http的服务,即web相关服务。允许这些服务通过防火墙
从命令行配置防火墙
代码语言:javascript复制
firewall-cmd命令将会与firewalld动态防火墙管理器进行交互。他是作为主firewalld软件包的一不部分安装的,可用于倾向使用命令行的管理员,在没有图形环境的系统上工作,或编写有关防火墙设置的脚本
使用命令行配置防火墙
代码语言:javascript复制
[root@host ~]# firewall-cmd --set-default-znotallow=dmz
 Warning: ZONE_ALREADY_SET: dmz
 success
 [root@host ~]# firewall-cmd --permanent --znotallow=internal --add-source=192.168.0.0/24
 success
 [root@host ~]# firewall-cmd --permanent --znotallow=internal --add-service=mysql
 success
 [root@host ~]# firewall-cmd --reload 
 success

管理SELINUX安全性

什么是SElinux
代码语言:javascript复制
SELinux(Security-Enhanced Linux) 是一个额外的系统安全层。SElinux的主要目标是防止已遭泄露的系统服务访问用户数据。大多数linux管理员都熟悉标准的用户/组/其他权限安全模型。这种基于用户和组的模型为自由决定的访问控制。SElinux提供另一层安全,它基于对象并由更加复杂的规则控制,称为强制访问控制
为什么使用SELinux
代码语言:javascript复制
SElinux实施了一组可以防止一个应用程序的弱点影响其他应用或基础系统的访问规则。
SElinux有三种模式:
强制:SElinux强制执行访问控制规则,计算机通常在该模式下运行。
许可:SElinux处于活动状态,但并不强制执行控制规则,而是记录违反规则的警告。该模式主要用于测试和故障排除。
禁用:SElinux完全关闭-不拒绝任何SElinux违规,甚至不予记录
SElinux上下文修改
代码语言:javascript复制
SElinux是用于确定哪个进程可以访问哪些文件、目录和端口的一组安全规则。每个文件、进程、目录和端口都具有专门的安全标签,称为SElinux上下文。上下文是一个名称,SElinux策略使用它来确定某个进程能否访问文件、目录和端口。
SElinux标签具有多种上下文:用户、角色、类型和敏感度
实验

更改当前selinux模式

代码语言:javascript复制
[root@host ~]# getenforce 
Enforcing
[root@host ~]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
[root@host ~]# setenforce 0
[root@host ~]# geten
getenforce  getent      
[root@host ~]# getenforce 
Permissive
[root@host ~]# setenforce Enforcing
[root@host ~]# getenforce 
Enforcing
[root@host ~]#
控制SElinux端口标记
代码语言:javascript复制
selinux端口标记
selinux不仅仅是进行文件和进程标记,SElinux策略还严格实施网络流量。SElinux用来控制网络流量的其中一种方法是标记端口
管理SElinux端口标记
在非标准端口上运行服务,SElinux几乎肯定会拦截此流量。在这种情况下,您必须更新SElinux端口标签。在某些情况下targeted策略已经通过可以使用的类型标记了端口;
列出端口标签
要获取所有当前端口标签分配的概述,请运行semanage port -l命令。 -l选项列出当前分配:
代码语言:javascript复制
输出示例:
[root@host ~]# semanage port -l
SELinux 端口类型                   协议       端口号
要优化搜索,使用grep命令:
[root@host ~]# semanage port -l | grep ftp
ftp_data_port_t                tcp      20
ftp_port_t                     tcp      21, 989, 990
ftp_port_t                     udp      989, 990
tftp_port_t                    udp      69
管理端口标签:
使用semanage命令可以分配新端口标签、删除端口标签或修改现有端口标签。
代码语言:javascript复制
要向现有端口标签(类型)中添加端口,使用以下语法,-a将添加新端口标签,-t表示类型,-p表示协议。
例如:要允许gopher服务侦听端口71/TCP:
[root@host~]# semanage port -a -t gopher_port_t -p tcp 71
要查看对默认策略的本地更改,管理员可以在semanage命令中添加-c选项。
SELinux 端口类型                   协议       端口号

gopher_port_t                  tcp      71
代码语言:javascript复制
删除端口标记
删除自定义端口标签的语法与添加端口标签的语法相同,但不是使用-a选项(表示添加),而是使用-d选项(表示删除)
例如:要删除端口71/TCP与gopher_port_t的绑定:
[root@host ~]# semanage port -d -t gopher_port_t -p tcp 71
修改端口绑定:
要更改端口绑定,请使用-m(修改)选项。这种流程比删除旧绑定并添加新绑定更高效。
例如,要将端口71/tcp从gopher_port_t修改为http_port_t,管理员可以使用如下命令:
[root@host ~]# semanage port -m -t http_port_t -p tcp 71

0 人点赞