《Linux操作系统》06Linux网络服务

六目项Linux网络服务企业级卓越人才培养方案（信息类专业集群）学习目标了解防火墙的过滤方法熟悉三种安全机制的使用掌握SSH服务的使用方法具有使用防火墙保护本机数据的能力网络配置ifconfig文件介绍配置说明ens33CentOS7中默认网卡名mtu最大传输单元单位为字节inetIP地址netmask子网掩码broadcast广播地址lo代表localhost本机网络配置说明软件包管理网络配置修改属性说明DEVICE设备名称BOOTPROTO开机协议，有none（不指定）,static（静态IP）,dhcp（动态IP）IPADDRip地址NETMASK子网掩码GATWAY网段，该网段的第一个ipONBOOT是否开机启动DNS1域名解析服务器网卡属性SSH远程服务远程服务

远程服务对于所有使用Linux服务器的用户都是十分有用的工具。远程服务可以让运维人员和服务器管理员更好的管理主机。

有一定经验的同学一定使用过讯QQ上的一个功能，叫做远程桌面。远程桌面的功能是在经过一方请求，另一方同意后，可以使请求方对同意方的电脑及进行访问和操作。而远程桌面就是日常生活中最容易接触到的远程服务的一种。通过例子可以知道，远程服务就是对通过自己使用的计算机去对目标计算机或者服务器进行访问并取得对计算机控制权的一种服务。

既然远程服务是对另一台计算机或服务器访问的一种服务，那么一定要保证远程服务的安全性。SSH远程服务SSHSSH全称SecureShell，是一种建立在应用层基础上的安全协议，可以通过数据封包加密技术，将等待传输的数据封包加密后再传输到网络上，因此数据安全性较高。简而言之，SSH是一种用于计算机之间加密登陆的安全协议。

早期，计算机之间都是采用明文通信，一旦被不法分子截获信息，通信的内容就会被暴露出来。在1955年，芬兰人设计了SSH协议，将登陆的信息全部加密，并在世界范围内推广。SSH共分为两个版本分别为SSH1和SSH2。SSH1与SSH2最大的不同之处就在于SSH2对SSH1的算法问题进行了修复，可以更加有效保护传输的安全性。SSH远程服务工作机制

公钥：提供给远程主机进行数据加密的行为，换言之，远程主机通过目标计算机提供的公钥数据加密。

私钥：私钥与公钥一一对应，通过公钥加密的信息，只有使用对应的私钥才可以解密。所以私钥是不能外流的，只能保护在自己的主机上。私钥与公钥的工作方式如图6-5所示。SSH远程服务工作流程图在明白公钥和私钥之后，才能对SSH协议的工作流程进行进一步的了解。SSH工作流程如图iptables包过滤系统防火墙简介

防火墙是内部网络与外部网络之间的一道屏障，可防止不可预测的具有破坏性的非法侵入，能根据安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。iptables作为CentOS系统中必不可少的包过滤系统，用户可以设计自己的出入站规则控制指定程序后端口能否被外部主机访问，从而提高本机安全性。出站：本机访问外部网络。入站：外部网络中的主机通过网络访问本机iptables包过滤系统iptables命令选项

在通常情况下管理员需要iptables命令添加、删除防火墙的规则，iptables语法格式可通过iptables–help命令进行查看，其用法和依法格式如下所示。iptables[-ttable]command[match][-j]（1）-ttable该选项能够指定将操作的规则表，iptables内建规则表共有四个分别为：fileter、nat、mangle、Raw，当未指定规则表时默认对filter进行操作。iptables表由5个规则链组成，如表规则链说明INPUT处理输入数据包OUTPUT处理输出数据包PORWARD处理转发数据包PREROUTING用于目标地址转换POSTOUTING用于源地址转换iptables包过滤系统数据包传输过程ptables数据包传输过程如图iptables包过滤系统常用操作（1）在filter表中插入一条新的入站规则，丢弃192.168.22.33主机发送到本机的所有数据包，并列出filter表中所有规则，并如代码所示。代码[root@master~]#iptables-IINPUT-s192.168.22.33-jDROP[root@master~]#iptables–L增加规则结果如图iptables包过滤系统常用操作

查看filter表中的防火墙规则同时显示其每条条规则的编号，并根据编号将INPUT链中的第一条规则删除，查看删除规则如代码所示代码[root@master~]#iptables-DINPUT1[root@master~]#iptables-nL--line-number删除查看规则编号如图iptables包过滤系统firewalld防火墙简介

firewalld防火墙作为Centos7中的一大新特性，能够提供对系统的安全访问控制。firewalld能够对不同规模的内部网络进行集中管理，在firewalld中定义的安全规则能够在整个内部网络中都能够正常运行，无须在内部网的所有主机上设置安全策略，firewalld关闭启动操作代码所示。代码[root@masterfirewalld]#systemctlstopfirewalld.service#关闭firewalld[root@masterfirewalld]#systemctlstatusfirewalld.service#查看firewalld状态[root@masterfirewalld]#systemctlstartfirewalld#开启firewalld[root@masterfirewalld]#systemctlstatusfirewalld.service#查看firewalld状态firewalld开启关闭状态如图iptables包过滤系统firewalld防火墙简介firewall-cmd命令选项如表所示选项说明--get-default-zone获取默认zone信息--set-default-zone=<zone>设置默认zone--get-active-zones显示当前正在使用的zone信息--get-zones显示系统预定义的zone--get-services显示系统预定义的服务名称--get-zone-of-interface=<interface>查询某个接口与那个zone匹配--get-zone-of-source=<source>[/<mask>]查询某个源地址与哪个zone匹配--list-all-zones显示所有的zone信息的所有规则--add-service=<service>向zone中添加允许访问的端口--add-source=<source>[/<mask>]将源地址与zone绑定--list-all列出某个zone的所有规则--remove-port=<portid>[-<portid>]/<protocol>从zone中移除允许某个端口的规则--remove-source=<source>[/<mask>]将源地址与zone解除绑定--remove-interface=<interface>将网卡接口与zone解除绑定--permanent设置永久有效规则，默认情况规则都是临时的--reload重新加载防火墙规则--state获取firewalld状态--zone=<zone>选择要处理的规则集iptables包过滤系统firewalld防火墙简介规则选项如表选项说明--add-rich-rule='rule'向指定区域中添加rule--remove-rich-rule='rule'从指定区域删除rule--query-rich-rule='rule'查询rule是否添加到指定区域，如果存在则返回0，否则返回1--list-rich-rules输出指定区域的所有富规则iptables包过滤系统firewalld防火墙简介规则选项如表选项说明--add-rich-rule='rule'向指定区域中添加rule--remove-rich-rule='rule'从指定区域删除rule--query-rich-rule='rule'查询rule是否添加到指定区域，如果存在则返回0，否则返回1--list-rich-rules输出指定区域的所有富规则iptables包过滤系统用户配置文件firewalld的默认配置文件是用户配置地址（/etc/firewalld/）。当需要一个文件时firewalld会先去用户配置地址寻找访问规则，如果能找到就直接使用，否则使用系统配置地址中的默认配置。此文件结构主要的优点在于当需要修改系统默认配置时，只需将系统配置地址中的文件拷贝到用户配置地址进行修改即可，这样做的优点是可以使用户清楚的看见对哪些文件进行了修改和创建等操作，回复默认配置时只需要将用户配置地址中的文件删除即可。firewalld配置文件与目录主要由三个目录和两个配置文件组成，如表6所示。类型文件及目录名称文件firewalld.conflockdown-whitelist.xml目录zonesservicesicmptypesiptables包过滤系统zone（规则集）

在Firewall中共有九个zone配置文件，每个配置文件均是一种安全解决方案，在这九种安全解决方案中起实质性作用的是每种安全解决方案中的内容而不是其文件名，规则详细说明如表所示。安全解决方案说明block.xml所有网络连接都被IPv4和IPv6所拒绝dmz.xml限制外部网络对内部网络的访问，只接受选定的传入网络对主机进行连接。drop.xml丢弃所有网络传入的数据包，并不做回应，且仅允许传出网络external.xml用于启用了地址伪装的外部网络，只接受选定的传入网络连接。home.xml常应用于家庭网络，可信任其他计算机不会危害你的计算的情况。只接受被选择的传入网络连接internal.xml常应用于可基本信任网络内其他计算机不会危害你的计算的情况，在内部网络中只接受经过选择的连接。public.xml常应用于网络内的计算机可能会对你的计算机造成危害的情况，在公共网络下只接受被选择的传入网络连接，trusted.xml接受所有网络连接work.xml用于工作区，可基本信任网络内的电脑不会危害你的计算机，只接收经过选择的连接SELinux安全系统SELinux简介SELinux(Security-EnhancedLinux)是由NSA（美国国家安全局）领导开发的一种基于域类型模型（domain-type）的安全子系统，能够通过使用无法回避的访问限制来阻止直接或间接的非法入侵（强制访问控制）和增强系统抵御o-Day攻击（利用未公开的漏洞进行攻击）的能力，在这种访问控制体系的限制下，进程只能访问在其任务中所需要的文件。目前Linux内核2.6以上版本中都集成了SELinux功能。SELinux安全系统配置文件SELINUX配置项为SELinux的模式选项，有三个可选参数分别为enforcing、permissive或disabled，详细说明如表所示。选项说明enforcing完整执行模式，这是SELinux的主要模式，使用此模式SELinux会拦截非法资源访问permissive仅警告模式，只是审核遭受拒绝的消息，访问无权限资源时SELinux不会进行拦截，但会将本次访问记录到日志disabled关闭模式，在此模式下SELinux不会进行任何动作，因为SELinux是内核模块功能，所以设置为此模式后需要重启计算机生效SELinuxTYPE用来设置SELinux的访问控制类型，其中有两种可选类型分别为targeted策略和mls策略，只能通过配置文件进行修改，类型详细说明如表6-13所示类型说明targeted仅对服务进程进行访问控制mls对系统中的所有进程进行控制SELinux安全系统安全上下文（1）USER（用户）SELinux上下文中的用户类似于Linux系统的UID，能够为Linux系统提供用户识别和记录身份信息，三种常见用户如表所示。用户说明user_u普通用户登录系统后的预设，表示普通用户无特权用户system_u开机过程中系统进程的预设，表示系统进程，通过用户可以确认身份类型rootroot登录后的预设，表示最高权限（2）ROLE（角色）在targeted策略下角色并不会起到实质性的作用，在targeted策略环境中所有的进程文件的角色都是system_r，SELinux中的角色主要有三类如表6-15所示。角色说明object_r通常为文件、目录和设备的角色system_r进程角色system_r在targeted策略下用户的角色一般为system_r，用户角色的概念类似用户组，不同的角色具有不同的身份权限，一个用户可以具备多个角色，但是同一时间只能使用一个角色SELinux安全系统修改安全上下文（1）chcon命令该命