2024Linux安全加固实验方案

/第/第1页目录 3 32 3 3 3 3 3 3 4 4 4 21SELinux 21.1 2 42.1 42.2 5 71、实验随堂查 7 721VMwareWorkStationProOracleVMVirtualBoxMobaxterm本地主机与虚拟机能够访问互联网，虚拟机网络不使用DHCP1、本实验需要VM12、本实验VM/第/第2页CPU：1颗，1网卡：1IP地址：81\h1SELinuxSElinux#查看当前SELinux的工作模式[root@Lab-08-Task-01~]#getenforce#默认为强制模式#修改#查看当前SELinux的工作模式[root@Lab-08-Task-01~]#getenforce#默认为强制模式#修改SELinux的工作模式为宽容模式[root@Lab-08-Task-01~]#setenforce0#查看修改后模式[root@Lab-08-Task-01~]#getenforce#恢复SELinux的运行模式为强制模式[root@Lab-08-Task-01~]#setenforce1#查看修改后模式[root@Lab-08-Task-01~]#getenforceSELinux#查看系统当前SELinux[root@Lab-08-Task-01~]#cat#查看系统当前SELinux[root@Lab-08-Task-01~]#cat/etc/selinux/config|grep'^SELINUX=SELinux[root@Lab-08-Task-01~]#sed-iabled/g'/etc/selinux/config#重启操作系统abled/g'/etc/selinux/config#重启操作系统[root@Lab-08-Task-01~]#reboot#检验状态修改是否生效[root@Lab-08-Task-01~]#getenforceSELinux[root@Lab-08-Task-01~]#sed-i's/SELINUX=disabled/SELINUX=enforcing/g'/etc/selinux/config[root@Lab-08-Task-01~]#reboot#检验状态修改是否生效[root@Lab-08-Task-01~]#getenforce#使用yumpolicycoreutils-python-[root@Lab-08-Task-01~]#yuminstall-ypolicycoreutils-python-SELinux#使用yumpolicycoreutils-python-[root@Lab-08-Task-01~]#yuminstall-ypolicycoreutils-python-SELinux提升用户操作的安全性。[root@Lab-08-Task-01~]#semanagelogin-[root@Lab-08-Task-01~]#semanagelogin-SELinux用户MLS/MCS范围#系统默认用户的SELinux用户类型为unconfined_u（未限制default s0- SELinux[root@Lab-08-Task-01~]#semanagelogin-m-suser_u-rs0def[root@Lab-08-Task-01~]#semanagelogin-SELinux用户MLS/MCS范围#查看系统默认用户的SELinux用户类型已经更改为user_u（普通用户类型default s0-[root@Lab-08-Task-01~]#adduser[root@Lab-08-Task-01[root@Lab-08-Task-01~]#passwd[testuser@Lab-06-Task-01~]#id-Z#查看防火墙Firewalld[root@Lab-08-Task-01~]##查看防火墙Firewalld[root@Lab-08-Task-01~]#systemctlstatus#关闭防火墙服务[root@Lab-08-Task-01~]#systemctlstop#开启防火墙服务[root@Lab-08-Task-01~]#systemctlstart#重启防火墙服务[root@Lab-08-Task-01~]#systemctlrestart[root@Lab-08-Task-01~]#systemctldisable[root@Lab-08-Task-01~]#systemctlenable#重新载入防火墙规则[root@Lab-08-Task-01~]#firewall-cmd--#全局日志配置#防火墙日志存放目录变更为/var/log/firewalldlog#全局日志配置#防火墙日志存放目录变更为/var/log/firewalldlog#使用vi命令编辑/etc/firewalld/firewalld.conf文件[root@Lab-08-Task-01~]#vi/etc/firewalld/firewalld.conf /etc/firewalld/firewalld.conf文件#firewalld.conf#将LogDenied=off改为LogDenied=unicast 文件[root@Lab-08-Task-01~]#mkdir/var/log/firewalldlog#重新载入配置文件[root@Lab-08-Task-01~]#systemctlreload#使用vi命令编辑/etc/rsyslog.conf文件[root@Lab-08-Task-01~]#vi/etc/rsyslog.conf /etc/rsyslog.conf文件文件[root@Lab-08-Task-01~]#systemctlrestart（0）httpd3[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-rich-='rulefamily=ipv4sourceaddress=0servicename="http"loglevel=noticeprefix="HTTP"limitvalue="3/s"accept'[root@Lab-08-Task-01~]#firewall-cmd--#打开443/TCP[root@Lab-08-Task-01~]##打开443/TCP[root@Lab-08-Task-01~]#firewall-cmd--add-#永久打开3690/TCP[root@Lab-08-Task-01~]#firewall-cmd--add-port=3690/tcp--perm#永久打开100-500/TCP（指定范围内端口全部打开[root@Lab-08-Task-01~]#firewall-cmd--add-port=100-500/tcp--pe#重新载入防火墙配置[root@Lab-08-Task-01[root@Lab-08-Task-01~]#firewall-cmd--http、https服务。zabbix-server服务。#允许访问本机的http、https[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-service=h#允许访问本机的http、https[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-service=h[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-service=h#允许访问本机的zabbix-server[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-service=zcockpit、dhcpv6-client[root@Lab-08-Task-01~]#firewall-cmd--permanent--remove-servic[root@Lab-08-Task-01~]#firewall-cmd--permanent--remove-servic#重新载入防火墙配置[root@Lab-08-Task-01~]#firewall-cmd--IP地址允许/禁止访问。#允许来自IP11[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-source=1#允许来自IP11[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-source=1#禁止来自IP21[root@Lab-08-Task-01~]#firewall-cmd--permanent--remove-sourc#重新载入防火墙配置[root@Lab-08-Task-01~]#firewall-cmd--#使用firewall-cmdssh[root@Lab-08-Task-01~]##使用firewall-cmdssh[root@Lab-08-Task-01~]#firewall-cmd--permanent--remove-#使用#使用[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-rich-='rulefamily=ipv4sourceaddress=0/24servicename="ssh"limitvalue="5/s"accept'[root@Lab-08-Task-01~]#firewall-cmd--第一：本地客户端（0）MySQLWorkBenchMariaDB数据库。第二：本地客户端（0）phpMyAdmin管理界面，进行数#使用firewall-cmd#使用firewall-cmd[root@Lab-08-Task-01~]#firewall-cmd--permanent--add-rich-='rulefamily=ipv4sourceaddress=0portport=3306protocol=tcpaccept'#使用firewall-cmd命令添加本