Linux命令精品参考手册代码(16)

www zp www zp 即用即查 Linux 命令行实例参考手册代码 第 16 章 系统安全命令 IP 包过滤器管理 iptables iptables 命令语法 iptables t table 命令参数 对应参数 实例 1 查看 nat 表的规则设置 执行以下命令 root Localhost iptables t nat L 实例 2 查看默认表 filter 当前的规则设置 执行以下命令 root Localhost iptables L 执行命令后将显示该表所有规则链中的规则 实例 3 查看 filter 表当前的规则设置 并用数字形式显示 IP 地址和端口号 用 n 参数表示 执行以下命令 root Localhost iptables L n 执行命令后将显示 filter 表所有规则链表中的规则 可以看出与上一个例子不同的是 规则中涉及到的 IP 地址和端口号是用数字形式表示 的 如 IP 地址 0 0 0 0 0 代替 anywhere 端口号 53 表示 mdns 实例 4 查看 filter 表 FORWARD 链的规则设置 执行以下命令 root Localhost iptables L FORWARD 此时 将仅显示 INPUT 链的规则 实例 5 清除 nat 表中所有规则链中的规则 执行以下命令 root Localhost iptables t nat F 执行该命令后将删除其所有规则链中的规则 通过执行以下命令规则链中的规则 root Localhost iptables t nat L 实例 6 添加规则到规则链表 允许源地址为 192 168 1 1 24 的主机通过 22 tcp 端 口 执行命令 root Localhost iptables A INPUT p tcp s 192 168 1 1 24 dport 22 j ACCEPT 执行该命令后 可以看到规则已加入 通过执行以下命令查看 root Localhost iptables L 保存 IP 表 iptables save iptables save 命令语法 iptables save 参数 t table 实例 1 显示默表 nat 的 IP 表的内容 执行命令 root Localhost iptables save 实例 2 显示 IP 表的内容 并显示所有包和字节计数器的当前值 利用 c 选项实 现 执行命令 root Localhost iptables save c www zp www zp 执行命令后 将显示 nat 表和 filter 表的信息 实例 3 保存 nat 表的内容到文件 natLog txt 中 执行命令 root Localhost iptables save t nat natLog txt 此时 natLog txt 中已经保存了 nat 表的内容 然后执行命令查看 root Localhost cat natLog txt 恢复 IP 表 iptables restore iptables restore 命令语法 iptables restore 参数 实例 从文件 natLog txt 中恢复 nat 表 执行命令 root Localhost iptables restore localMessage txt www zp www zp 然后输入以下命令查看所生成的策略 root localhost local cat localMessage txt 实例 2 从消息日志中生成并构造模块策略 执行命令 root localhost local cat var log messages audit2allow M local 装载策略 load policy load policy 命令语法 load policy 参数 实例 将策略装载到内核中 需执行以下步骤 首先查看当前布尔变量 nfsd disable trans 的值 执行命令 root localhost local getsebool nfsd disable trans 可以看到该布尔变量的当前值状态为 off 然后 将 NetworkManager disable trans 的 值翻转执行命令 root localhost local togglesebool nfsd disable trans 最后使用 load policy 装载策略 root localhost local load policy 装载策略后 通过以下命令可以查看到该布尔变量的当前状态值 root localhost local getsebool nfsd disable trans 执行命令后 可以看到该布尔变量的当前状态值被保留 SELinux 策略管理 semanage semanage 命令语法 semanage login a d m 参数 logi n name semanage user a d m 参数 selin ux name semanage port a d m 参数 p protoc ol port port range semanage interface a d m 参数 int erface spec semanage fcontext a d m 参数 file spec semanage translation a d m 参数 level 实例 1 允许用户 manager 已存在的用户 作为 sysetm u 登录 首先执行以下命令 root Localhost semanage login l 然后执行命令允许用户 manager 作为 sysetm u 登录 root Localhost semanage login a s system u manager 最后执行命令 root Localhost semanage login l 实例 2 查看 SELinux 的用户映射关系 执行命令 root Localhost semanage user l 管理策略模块 semodule semodule 命令语法 semodule 参数 MODE MODES 实例 1 安装模块包 local pp 执行命令 root Localhost semodule i local pp www zp www zp 然后执行命令查看情况 root Localhost semodule l 执行该命令后 可以看到该模块已被装入 实例 2 显示已安装的 SELinux 模块列表 执行命令 root Localhost semodule l 实例 3 删除模块包 local 执行命令 root Localhost semodule i local 然后执行命令查看情况 root Localhost semodule l 执行命令后 可以看到该模块已不存在 创建策略模块包 semodule package semodule package 命令语法 semodule package o m f 实例 1 由策略模块 local mod 创建策略包 local pp 执行命令 root Localhost semodule package o local pp m local mod 创建成功后 即可执行以下命令将生成的策略包装入内核 root Localhost semodule i local pp root Localhost semodule l 实例 2 创建一个基准模块 baseMod mod 的策略包 baseMod pp 文件的语境文件为 file contexts 执行以下命令即可 root Localhost semodule package o baseMod pp m baseMod mod f file contexts 其中 o baseMod pp 表示生成的策略包文件为 baseMod pp m baseMod mod 表 示要包括的策略模块 baseMod mod f file context 表示模块的文件语境文件 编译策略模块 checkmodule checkmodule 命令语法 checkmodule 参数 input file 实例 由文件 localMessage txt 编译生成策略模块 执行命令 root Localhost checkmodule m o local mod localMes sage txt 改变语境类别 chcat chcat 命令语法 chcat 参数 CATEGOR Y FILE chcat 参数 CATEGORY USER 实例 1 显示可用类别 执行命令 root Localhost chcat L 实例 2 显示 manager 用户的类别 执行命令 root Localhost chcat Ll manager 修复文件安全语境 fixfiles fixfiles 命令语法 www zp www zp fixfiles 参数 check restor e F relabel verify 实例 对文件系统重新标签 执行命令 root Localhost fixfiles relabel 执行命令后 建议重启系统 恢复文件安全语境 restorecon restorecon 命令语法 restorecon 参数 文件名 实例 1 恢复文件 file2 原来的文件标签 首先查看 file2 文件的文件标签 执行命令 root Localhost ls Z file2 然后执行以下命令改变 file2 的文件类型为 etc t root Localhost chcon t etc t file2 执行以下命令查看该文件的文件类型相关情况 root Localhost ls Z file2 执行命令后可以看到文件类型已经改变 最后执行以下命令来实现 file2 的文件类型的恢复 root Localhost restorecon file2 root Localhost ls Z file2 执行命令后 可以看到文件 file2 的文件类型已恢复为原来的 user home t 实例 2 显示文件 file2 文件标签的改变 首先查看 file2 文件标签执行命令 root Localhost ls Z file2 可以看到 file2 文件标签为 user home t 将 file2 的文件类型变为 etc t 执行命令 root Localhost chcon t etc t file2 然后执行以下命令显示文件标签的改变 root Localhost restorecon v file2 改变文件安全语境 chcon chcon 命令语法 chcon 参数 CONTEXT FILE 实例 1 更改文件 file2 的标签 将其文件类型改为 user home dir t 首先执行命令查看 file2 的档期文件类型 root Localhost ls Z file2 然后 执行以下命令更改文件类型 root Localhost chcon t user home dir t file2 最后通过执行以下命令查看更改后的文件类型 root Localhost ls Z file2 要重新标记系统 应当创建空文件 autorelabel 然后引导系统 需要输入命令 touch autorelabel 和 shutdown r now 在系统启动期间 除了用在 etc selinux targeted contexts customizable types 中的类型标记的文件 文件会被重新标记为 默认值 www zp www zp 实例 2 递归改变目录 hhwork 下文件和目录的标签 将文件类型改为 etc t 执行以下命令查看 hhwork 下文件和目录的文件类型 root Localhost ls RZ hhwork 然后执行以下命令进行递归更改 并将文件类型更改为 e