13第十三章 Linux安全管理

1、1Linux安全管理21.Firewalld防火墙管理2.SELinux管理3.救援模式4.Podman容器管理本章目录3 RHEL8系统的防火墙功能由firewalld服务实现 firewalld服务用来管理host-level，支持动态管理的防火墙守护进程 iptables，ip6tables用来管理low-level，支持静态管理的防火墙守护进程 4 firewall守护进程目前具有以下功能： 支持绝大多数 system-config-firewall 所具有的功能。 实现动态管理，对于规则的更改不再需要重新创建整个防火墙。 一个简单的系统托盘区图标来显示防火墙状态，方便开启和关闭防火墙

2、。 提供 firewall-cmd 命令行界面进行管理及配置工作。 为 libvirt 提供接口及界面 实现 firewall-config 图形化配置工具。 实现系统全局及用户进程的防火墙规则配置管理。 区域 Zone 的支持。 NetworkManager 防火墙规则助手5 区域：定义了网络连接的可信等级。这是一个一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。 服务：是端口和/或协议入口的组合。备选内容包括 netfilter 助手模块以及 IPv4、IPv6地址。 端口和协议：定义了 tcp 或 udp 端口，端口可以是一个端口或者端口范围。 IC

3、MP 阻塞：可以选择 Internet 控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。 伪装：私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。 端口转发：端口可以映射到另一个端口以及/或者其他主机6 由firewalld 提供的区域按照从不信任到信任的顺序排序。丢弃：任何流入网络的包都被丢弃，不作出任何响应。只允许流出的网络连接。阻塞：任何进入的网络连接都被拒绝，并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。公开（默认）：用

4、以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。外部：用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。隔离区（dmz）：用以允许隔离区（dmz）中的电脑有限地被外界网络访问。只接受被选中的连接。工作：用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。家庭：用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。内部：用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。受信任的：允许所有网络连接。7 配置命令：

5、firewall-cmd 配置图形工具:firewall-config 配置文件:/etc/firewalld/8 防火墙配置案例 允许http服务 firewall-cmd-permanent -add-service=http 开启22端口（ssh服务） firewall-cmd-permanent -add-port=22/tcp 保存防火墙到配置文件中 firewall-cmd-reload-list-all列出所有规则-reload保存到配置文件中 -permanent 永久生效9 打开firewall-config图形界面的防火墙10 配置选项卡选择永久11 区域选项卡中选择wor

6、k区域 选择服务子选项卡 勾选https服务12 重载防火墙使之永久生效，结束配置13 -permanent：永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。获取永久选项所支持的服务firewall-cmd -permanent -get-services 获取永久选项所支持的ICMP类型列表firewall-cmd -permanent -get-icmptypes 获取支持的永久区域firewall-cmd -permanent -get-zones 启用区域中的服务firewl-calmd -permanent -zone= -add-service= 此举将永久启用

7、区域中的服务。如果未指定区域，将使用默认区域。禁用区域中的一种服务firewall-cmd -permanent -zone= -remove-service= 查询区域中的服务是否启用firewall-cmd -permanent -zone= -query-service= 14 富规则，是一种表达性语言，就是通过“rich language”特性提供的一种不需要了解iptables语法的，通过高级语言配置复杂 IPv4 和 IPv6 防火墙规则的机制。可表达firewalld基本语法中未涵盖的自定义防火墙规则，可用于表达基本的允许/拒绝规则，可用于配置记录(面向syslog和auditd

8、)及端口转发、伪装和速率限制Red Hat Enterprise Linux 7 提供了命令行支持的富语言特性，也提供了对于图形界面 firewall-config 的支持。通过“rich language”语法，可以用比直接接口方式更易理解的方法建立复杂防火墙规则，此外还能永久保留设置，这种语言可以用来配置区域，也仍然支持现行的配置方式，所有命令都必须以 root 用户身份运行，并且任何已配置的富规则还将显示在firewall-cmd -list-all和firewall-cmd -list-all-zones输出中。15 firewall-cmd -permanent -zone=clas

9、sroom -add-rich-rule=rule family=ipv4 source address=1/32 reject firewall-cmd -add-rich-rule=rule service name=ftp limit value=2/m accept firewall-cmd -permanent -add-rich-rule=rule protocol value=esp drop firewall-cmd -permanent -zone=work -add-rich-rule=rule service name=ssh log prefix=

10、ssh level=notice limit value=3/m accept 161.Firewalld防火墙管理2.SELinux管理3.救援模式4.Podman容器管理本章目录17 SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux上最杰出的新安全子系统。 NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件18 SELinux是一组可确定哪个进程能访问文件、目录、端口等的安全规则 SELinux标签有若干上下文，最关注类型上下文 SELi

11、nux的目标是保护用户数据免受已泄露的系统服务的威胁19 强制模式：Enforcing 许可模式：Permissive 禁用模式：Disabled20 修改/etc/sysconfig/selinux文件 显示当前SELinux模式：getenforce 修改当前SELinux模式：setenforce21 查看进程的SELinux上下文：ps -axZ 查看文件的SELinux上下文：ls -lZ 修改文件的SELinux上下文： chcon -t 上下文类型 文件名22 SELinux布尔值是更改SELinux策略行为的开关 SELinux布尔值是可以启用或者禁用的规则 显示布尔值：get

12、sebool a 修改布尔值：setsebool P 类型 on|off23 SELinux可以通过策略管理服务的开放端口 显示SELinux的http服务端口 semanage port -l | grep http 修改SELinux的http服务端口 semanage port -a -t http_port_t -p tcp 808241.Firewalld防火墙管理2.SELinux管理3.救援模式4.Podman容器管理本章目录25 救援模式介绍 安装用启动介质 根文件系统必须正常26 启动救援模式27 密码破解，按e键进入28 找到linux16开头的行，在行尾添加rd.brea

13、k关键字（如果是图形界面，需要添加console=tty0） 修改完成，ctrl+x保存退出 挂载根分区 mount o rw,remount /sysroot 改变目录 chroot /sysroot 修改密码 passwd root 应用文件标签 touch /.autorelabel exit exit29 修复常见启动问题 如果/etc/fstab文件故障，系统不能正常启动，如下文件错误 系统启动后，错误提示如下 除了通过中断模式修复外，也可在该页面直接输入root用户密码，进入修复模式，如下所示301.Firewalld防火墙管理2.SELinux管理3.救援模式4.Podman容器

14、管理本章目录31 容器（Container）是一种轻量级的虚拟化技术，所谓的轻量级虚拟化，就是使用了一种操作系统虚拟化技术，这种技术允许一个操作系统上用户空间被分割成几个独立的单元在内核中运行，彼此互不干扰，这样一个独立的空间，就被称之为一个容器。323334 Podman是一个开源项目，可在大多数Linux平台上使用并开源在GitHub上。Podman是一个无守护进程的容器引擎，用于在Linux系统上开发，管理和运行Open Container Initiative（OCI）容器和容器镜像。Podman提供了一个与Docker兼容的命令行前端，它可以简单地作为Docker cli，简单地说你

15、可以直接添加别名：alias docker = podman来使用podman。35 Podman控制下的容器可以由root用户运行，也可以由非特权用户运行。Podman管理整个容器的生态系统，其包括pod，容器，容器镜像，和使用libpod library的容器卷。Podman专注于帮助您维护和修改OCI容器镜像的所有命令和功能，例如拉取和标记。它允许您在生产环境中创建，运行和维护从这些映像创建的容器36 docker需要在我们的系统上运行一个守护进程（docker daemon），而Podman不需要 启动容器的方式不同： docker cli 命令通过API跟 Docker Engine(引擎)交互告诉它我想创建一个container，然后docker Engine才会调用OCI container runtime(runc)来启动一个con