13第十三章-Linux安全管理

Linux安全管理Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄Linux防火墻概述RHEL8系統(tǒng)的防火墻功能由firewalld服務(wù)實(shí)現(xiàn)firewalld服務(wù)用來管理host-level，支持動態(tài)管理的防火墻守護(hù)進(jìn)程iptables，ip6tables用來管理low-level，支持靜態(tài)管理的防火墻守護(hù)進(jìn)程Linux防火墻概述firewall守護(hù)進(jìn)程目前具有以下功能：支持絕大多數(shù)system-config-firewall所具有的功能。實(shí)現(xiàn)動態(tài)管理，對于規(guī)則的更改不再需要重新創(chuàng)建整個防火墻。一個簡單的系統(tǒng)托盤區(qū)圖標(biāo)來顯示防火墻狀態(tài)，方便開啟和關(guān)閉防火墻。提供firewall-cmd命令行界面進(jìn)行管理及配置工作。為libvirt提供接口及界面實(shí)現(xiàn)firewall-config圖形化配置工具。實(shí)現(xiàn)系統(tǒng)全局及用戶進(jìn)程的防火墻規(guī)則配置管理。區(qū)域Zone的支持。NetworkManager防火墻規(guī)則助手防火墻概念區(qū)域：定義了網(wǎng)絡(luò)連接的可信等級。這是一個一對多的關(guān)系，這意味著一次連接可以僅僅是一個區(qū)域的一部分，而一個區(qū)域可以用于很多連接。服務(wù)：是端口和/或協(xié)議入口的組合。備選內(nèi)容包括netfilter助手模塊以及IPv4、IPv6地址。

端口和協(xié)議：定義了tcp或udp端口，端口可以是一個端口或者端口范圍。ICMP阻塞：可以選擇Internet控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應(yīng)。偽裝：私有網(wǎng)絡(luò)地址可以被映射到公開的IP地址。這是一次正規(guī)的地址轉(zhuǎn)換。端口轉(zhuǎn)發(fā)：端口可以映射到另一個端口以及/或者其他主機(jī)防火墻區(qū)域由firewalld提供的區(qū)域按照從不信任到信任的順序排序。丟棄：任何流入網(wǎng)絡(luò)的包都被丟棄，不作出任何響應(yīng)。只允許流出的網(wǎng)絡(luò)連接。阻塞：任何進(jìn)入的網(wǎng)絡(luò)連接都被拒絕，并返回IPv4的icmp-host-prohibited報(bào)文或者IPv6的icmp6-adm-prohibited報(bào)文。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。公開（默認(rèn)）：用以可以公開的部分。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。外部：用在路由器等啟用偽裝的外部網(wǎng)絡(luò)。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。隔離區(qū)（dmz）：用以允許隔離區(qū)（dmz）中的電腦有限地被外界網(wǎng)絡(luò)訪問。只接受被選中的連接。工作：用在工作網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會影響你的計(jì)算機(jī)。只接受被選中的連接。家庭：用在家庭網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會影響你的計(jì)算機(jī)。只接受被選中的連接。內(nèi)部：用在內(nèi)部網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會影響你的計(jì)算機(jī)。只接受被選中的連接。受信任的：允許所有網(wǎng)絡(luò)連接。防火墻配置配置命令：firewall-cmd配置圖形工具:firewall-config配置文件:/etc/firewalld/防火墻命令防火墻配置案例允許http服務(wù)firewall-cmd --permanent--add-service=http開啟22端口（ssh服務(wù)）firewall-cmd --permanent --add-port=22/tcp保存防火墻到配置文件中firewall-cmd --reload

--list-all 列出所有規(guī)則

--reload 保存到配置文件中

--permanent永久生效Firewall-config配置打開firewall-config圖形界面的防火墻配置選項(xiàng)卡選擇永久區(qū)域選項(xiàng)卡中選擇work區(qū)域選擇服務(wù)子選項(xiàng)卡勾選https服務(wù)重載防火墻使之永久生效，結(jié)束配置處理永久區(qū)域--permanent：永久選項(xiàng)不直接影響運(yùn)行時的狀態(tài)。這些選項(xiàng)僅在重載或者重啟服務(wù)時可用。獲取永久選項(xiàng)所支持的服務(wù)firewall-cmd--permanent--get-services獲取永久選項(xiàng)所支持的ICMP類型列表firewall-cmd--permanent--get-icmptypes獲取支持的永久區(qū)域firewall-cmd--permanent--get-zones啟用區(qū)域中的服務(wù)firewl-calmd--permanent[--zone=<zone>]--add-service=<service>此舉將永久啟用區(qū)域中的服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。禁用區(qū)域中的一種服務(wù)firewall-cmd--permanent[--zone=<zone>]--remove-service=<service>查詢區(qū)域中的服務(wù)是否啟用firewall-cmd--permanent[--zone=<zone>]--query-service=<service>富規(guī)則富規(guī)則，是一種表達(dá)性語言，就是通過“richlanguage”特性提供的一種不需要了解iptables語法的，通過高級語言配置復(fù)雜IPv4和IPv6防火墻規(guī)則的機(jī)制?？杀磉_(dá)firewalld基本語法中未涵蓋的自定義防火墻規(guī)則，可用于表達(dá)基本的允許/拒絕規(guī)則，可用于配置記錄(面向syslog和auditd)及端口轉(zhuǎn)發(fā)、偽裝和速率限制 RedHatEnterpriseLinux7提供了命令行支持的富語言特性，也提供了對于圖形界面firewall-config的支持。

通過“richlanguage”語法，可以用比直接接口方式更易理解的方法建立復(fù)雜防火墻規(guī)則，此外還能永久保留設(shè)置，這種語言可以用來配置區(qū)域，也仍然支持現(xiàn)行的配置方式，所有命令都必須以root用戶身份運(yùn)行，并且任何已配置的富規(guī)則還將顯示在firewall-cmd--list-all和firewall-cmd--list-all-zones輸出中。管理富規(guī)則firewall-cmd--permanent--zone=classroom--add-rich-rule='rulefamily=ipv4sourceaddress=1/32reject'firewall-cmd--add-rich-rule='ruleservicename=ftplimitvalue=2/maccept'firewall-cmd--permanent--add-rich-rule='ruleprotocolvalue=espdrop'firewall-cmd--permanent--zone=work--add-rich-rule='ruleservicename="ssh"logprefix="ssh"level="notice"limitvalue="3/m"acceptFirewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄SELinux的基本概念SELinux(Security-EnhancedLinux)是美國國家安全局（NSA）對于強(qiáng)制訪問控制的實(shí)現(xiàn)，是Linux上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進(jìn)程只能訪問那些在他的任務(wù)中所需要文件SELinux的介紹SELinux是一組可確定哪個進(jìn)程能訪問文件、目錄、端口等的安全規(guī)則SELinux標(biāo)簽有若干上下文，最關(guān)注類型上下文SELinux的目標(biāo)是保護(hù)用戶數(shù)據(jù)免受已泄露的系統(tǒng)服務(wù)的威脅SELinux模式強(qiáng)制模式：Enforcing許可模式：Permissive禁用模式：Disabled顯示和修改SELinux模式修改/etc/sysconfig/selinux文件顯示當(dāng)前SELinux模式：getenforce修改當(dāng)前SELinux模式：setenforce顯示和修改SELinux文件上下文查看進(jìn)程的SELinux上下文：ps-axZ查看文件的SELinux上下文：ls-lZ修改文件的SELinux上下文：

chcon-t上下文類型文件名管理SELinux布爾值SELinux布爾值是更改SELinux策略行為的開關(guān)SELinux布爾值是可以啟用或者禁用的規(guī)則顯示布爾值：getsebool–a修改布爾值：setsebool–P類型on|off管理SELinux服務(wù)端口SELinux可以通過策略管理服務(wù)的開放端口顯示SELinux的http服務(wù)端口semanageport-l|grephttp修改SELinux的http服務(wù)端口semanageport-a-thttp_port_t-ptcp808Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄救援模式救援模式介紹安裝用啟動介質(zhì)根文件系統(tǒng)必須正常救援模式啟動救援模式密碼破解密碼破解，按e鍵進(jìn)入密碼破解找到linux16開頭的行，在行尾添加rd.break關(guān)鍵字（如果是圖形界面，需要添加console=tty0）修改完成，ctrl+x保存退出掛載根分區(qū)

mount–orw,remount/sysroot改變目錄

chroot/sysroot修改密碼

passwdroot應(yīng)用文件標(biāo)簽

touch/.autorelabelexitexit修復(fù)引導(dǎo)問題修復(fù)常見啟動問題如果/etc/fstab文件故障，系統(tǒng)不能正常啟動，如下文件錯誤系統(tǒng)啟動后，錯誤提示如下除了通過中斷模式修復(fù)外，也可在該頁面直接輸入root用戶密碼，進(jìn)入修復(fù)模式，如下所示Firewalld防火墻管理SELinux管理救援模式Podman容器管理本章目錄容器容器（Container）是一種輕量級的虛擬化技術(shù)，所謂的輕量級虛擬化，就是使用了一種操作系統(tǒng)虛擬化技術(shù)，這種技術(shù)允許一個操作系統(tǒng)上用戶空間被分割成幾個獨(dú)立的單元在內(nèi)核中運(yùn)行，彼此互不干擾，這樣一個獨(dú)立的空間，就被稱之為一個容器。容器與虛擬機(jī)的區(qū)別(1)容器與虛擬機(jī)的區(qū)別(2)podman介紹

Podman是一個開源項(xiàng)目，可在大多數(shù)Linux平臺上使用并開源在GitHub上。Podman是一個無守護(hù)進(jìn)程的容器引擎，用于在Linux系統(tǒng)上開發(fā)，管理和運(yùn)行OpenContainerInitiative（OCI）容器和容器鏡像。Podman提供了一個與Docker兼容的命令行前端，它可以簡單地作為Dockercli，簡單地說你可以直接添加別名：aliasdocker=podman來使用podman。podman介紹Podman控制下的容器可以由root用戶運(yùn)行，也可以由非特權(quán)用戶運(yùn)行。Podman管理整個容器的生態(tài)系統(tǒng)，其包括pod，容器，容器鏡像，和使用libpodlibrary的容器卷。Podman專注于幫助您維護(hù)和修改OCI容器鏡像的所有命令和功能，例如拉取和標(biāo)記。它允許您在生產(chǎn)環(huán)境中創(chuàng)建，運(yùn)行和維護(hù)從這些映像創(chuàng)建的容器Podman與docker區(qū)別docker需要在我們的系統(tǒng)上運(yùn)行一個守護(hù)進(jìn)程（dockerdaemon），而Podman不需要啟動容器的方式不同：dockercli命令通過API跟DockerEngine(引擎)交互告訴它我想創(chuàng)建一個container，然后dockerEngine才會調(diào)用OCIcontainerruntime(runc)來啟動一個container。這代表cont