3 配置与管理防火墙和SELinux

****学校网络服务器搭建、配置与管理——Linux（统信UOSV20）（微课版）《网络服务器搭建、配置与管理——Linux（统信UOSV20）（微课版）》电子教案教学任务配置与管理防火墙和SELinux学时4授课班级授课日期授课地点教学目标知识目标1．了解：了解防火墙的分类及工作原理。2．掌握：掌握firewalld防火墙的配置。3.掌握：掌握利用firewalld实现NAT。技能目标1.掌握防火墙的基本配置2.理解SELinux的模式社会能力目标1、培养学生动手操作能力2、培养学生规划管理能力教学内容使用firewalld服务 设置SELinux的模式 设置SELinux安全上下文 管理布尔值教学重点1.掌握firewalld服务教学方法1、宏观上采用“项目引导”，在微观上采用“任务驱动”、“问题牵引”。以实际演示讲解。2、在课堂上注意讲、学、做相结合，注重与学生的互动，充分调动学生的积极性，培养学习兴趣、分析问题和解决问题的能力以及自学能力。教学过程设计教学环节教学内容教学

方式时间课程思政导入讲授5目标“内容2019年11月26日是全球互联网发展历程中值得铭记的一天，一封来自欧洲RIPENCC的邮件宣布全球43亿个IPv4地址正式耗尽，人类互联网跨入了IPv6时代。对于我国而言，在接下来的IPv6时代，我国存在着巨大机遇，其中我国推出的“雪人计划”就是一个益国益民的大事，这一计划必将助力中华民族的伟大复兴，助力我国在互联网方面取得更多话语权和发展权。让我们拭目以待吧！项目导入（L）一、项目导入某高校组建了校园网，并且已经架设了Web、FTP、DNS、DHCP、Mail等功能的服务器来为校园网用户提供服务，现有如下问题需要解决。（1）需要架设防火墙以保障校园网的安全。（2）需要将子网连接在一起构成整个校园网。（3）由于校园网使用的是私有地址，需要转换网络地址，使校园网中的用户能够访问互联网。演示

提问2’二、项目任务使用firewalld服务 设置SELinux的模式 设置SELinux安全上下文 4、管理布尔值三、项目理论目标分析1、分析知识目标2、分析技能目标讲授3’讲解示范（E）模仿练习（E）一、课堂讲解使用firewalld服务二、操作示范了解默认的区域功能：区域名称默认策略规则trusted允许所有的数据包home拒绝流入的流量，除非与流出的流量相关。如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许进入internal等同于home区域workpublic拒绝流入的流量，除非与流出的流量相关。如果流量与ssh、dhcpv6-client服务相关，则允许进入external拒绝流入的流量，除非与流出的流量相关。如果流量与ssh服务相关，则允许进入dmz拒绝流入的流量，除非与流出的流量相关。如果流量与ssh服务相关，则允许进入block拒绝流入的流量，除非与流出的流量相关drop拒绝流入的流量，除非与流出的流量相关1.介绍使用终端管理工具方法是在使用firewall-cmd命令正常设置防火墙策略时添加--permanent选项。如：systemctl命令速查。systemctlunmaskfirewalld #执行命令，即可实现取消服务的锁定systemctlmaskfirewalld #下次需要锁定该服务时执行systemctlstartfirewalld.service #启动防火墙systemctlstopfirewalld.service #禁用防火墙systemctlreloadfirewalld.service #重载配置systemctlrestartfirewalld.service #重启服务systemctlstatusfirewalld.service #显示服务的状态systemctlenablefirewalld.service #在开机时启用服务systemctldisablefirewalld.service #在开机时禁用服务systemctlis-enabledfirewalld.service #查看服务是否开机启动systemctllist-unit-files|grepenabled #查看已启动的服务列表systemctl--failed #查看启动失败的服务列表……三、模仿练习学生上机练习修改网络配置。讲授案例

分析学生

实践10’讲解示范（E）模仿练习（E）课堂讲解使用图形管理工具二、操作示范在终端输入命令firewall-config得到：三、模仿练习学生完成第二种设置模式讲授案例

分析实践

练习10’讲解示范（E）模仿练习（E）一、课堂讲解。设置SELinux的模式操作示范SELinux有3个模式（可以由用户设置）。这些模式将规定SELinux在主体请求时如何应对。Enforcing（强制）：SELinux策略强制执行，基于SELinux策略规则授予或拒绝主体对目标的访问权限。Permissive（宽容）：SELinux策略不强制执行，没有实际拒绝访问，但会有拒绝信息写入日志文件/var/log/messages。Disabled（禁用）：完全禁用SELinux，使SELinux不起作用。1．使用配置文件设置SELinux的模式与SELinux相关的文件主要有以下3类。/etc/selinux/config和/etc/sysconfig/selinux：主要用于打开和关闭SELinux。/etc/selinux/targeted/contexts：主要用于对contexts的配置。contexts是SELinux的安全上下文，是SELinux实现安全访问的重要功能。/etc/selinux/targeted/policy：SELinux策略文件。2．使用命令行命令设置SELinux的模式可以使用命令行命令setenforce更改SELinux的模式。将SELinux模式改为宽容模式。[root@Server01~]#getenforce #检查当前SELinux的运行状态disabled[root@Server01~]#sed-i's/SELINUX=disabled/SELINUX=permissive/g'/etc/selinux/config #切换到宽容模式（Permissive）[root@Server01~]#reboot #重启生效[root@Server01~]#getenforce #检查当前SELinux的运行状态Permissive[root@Server01~]#setenforce1 #1代表强制模式（Enforcing）[root@Server01~]#getenforceEnforcing[root@Server01~]#setenforce0 #0代表宽容模式（Permissive）[root@Server01~]#getenforcePermissive[root@Server01~]#sestatus #查看SELinux的运行状态三、模仿练习学生按照实例完成设置过程。讲授案例

分析实践

练习25’讲解示范（E）设置SELinux安全上下文SELinuxcontexts称为SELinux安全上下文，简称上下文。在运行SELinux的系统中，所有的进程和文件都被标记上与安全有关的信息，这就是安全上下文。查看用户、进程和文件的命令都带有一个选项-Z（大写字母），可以通过此选项查看安全上下文。讲授25’课堂实践（P）模仿练习（E）一、课堂实践查看各类文件的安全上下文操作管理布尔值二、操作示范如使用chcon命令修改安全上下文。[root@Server01~]#ls-Zlanaconda-ks.cfg #查看anaconda-ks.cfg文件的上下文类型-rw-------.1rootrootsystem_u:object_r:admin_home_t:s010655月712:06anaconda-ks.cfg[root@Server01~]#chcon-thttpd_cache_tanaconda-ks.cfg #修改文件的上下文类型[root@Server01~]#ls-Zlanaconda-ks.cfg-rw-------.1rootrootsystem_u:object_r:httpd_cache_t:s010655月712:06anaconda-ks.cfg[root@Server01~]#restorecon-vanaconda-ks.cfg #恢复anaconda-ks.cfg的安全上下文Relabeled/root/anaconda-ks.cfgfromsystem_u:object_r:httpd_cache_t:s0tosystem_u:object_r:admin_home_t:s0[root@Server01~]#ls-Zlanaconda-ks.cfg-rw-------.1rootrootsystem_u:object_r:admin_home_t:s010655月712:06anaconda-ks.cfgSELinux既可以用来控制对文件的访问，也可以控制对各种网络服务的访问。其中SELinux安全上下文可实现对文件的访问控制，管理布尔值被用来实现对网络服务的访问控制。【例3-6】查看系统中所有管理布尔值的设置。[root@Server01~]#getsebool-a【例3-7】查看系统中有关http的所有管理布尔值的设置。[root@Server01~]#getsebool-a|grephttp【例3-8】查看系统中有关ftp的所有管理布尔值的设置。[root@Server01~]#getsebool-a|grepftp【例3-9】使用setsebool命令修改ftpd_full_access的管理布尔值的设置。#使vsftpd具有访问ftp根目录以及文件传输的权限[root@Server01~]#getsebool-a|grepftpd_full_access ftpd_full_access-->off#数字1表示开启，数字0表示关闭[root@Server01~]#setseboolftpd_full_access=1[root@Server01~]#getsebool-a|grepftpd_full_accessftpd_full_access-->on#以上设置重启系统后会失效，加上大写的-P选项可以确保重启系统后设置仍生效[root@Server01~]#setsebool-Pftpd