13第十三章-Linux安全管理

Linux安全管理Firewalld防火墙管理SELinux管理救援模式Podman容器管理本章目录Linux防火墙概述RHEL8系统的防火墙功能由firewalld服务实现firewalld服务用来管理host-level，支持动态管理的防火墙守护进程iptables，ip6tables用来管理low-level，支持静态管理的防火墙守护进程Linux防火墙概述firewall守护进程目前具有以下功能：支持绝大多数system-config-firewall所具有的功能。实现动态管理，对于规则的更改不再需要重新创建整个防火墙。一个简单的系统托盘区图标来显示防火墙状态，方便开启和关闭防火墙。提供firewall-cmd命令行界面进行管理及配置工作。为libvirt提供接口及界面实现firewall-config图形化配置工具。实现系统全局及用户进程的防火墙规则配置管理。区域Zone的支持。NetworkManager防火墙规则助手防火墙概念区域：定义了网络连接的可信等级。这是一个一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。服务：是端口和/或协议入口的组合。备选内容包括netfilter助手模块以及IPv4、IPv6地址。

端口和协议：定义了tcp或udp端口，端口可以是一个端口或者端口范围。ICMP阻塞：可以选择Internet控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。伪装：私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。端口转发：端口可以映射到另一个端口以及/或者其他主机防火墙区域由firewalld提供的区域按照从不信任到信任的顺序排序。丢弃：任何流入网络的包都被丢弃，不作出任何响应。只允许流出的网络连接。阻塞：任何进入的网络连接都被拒绝，并返回IPv4的icmp-host-prohibited报文或者IPv6的icmp6-adm-prohibited报文。只允许由该系统初始化的网络连接。公开（默认）：用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。外部：用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。隔离区（dmz）：用以允许隔离区（dmz）中的电脑有限地被外界网络访问。只接受被选中的连接。工作：用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。家庭：用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。内部：用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。受信任的：允许所有网络连接。防火墙配置配置命令：firewall-cmd配置图形工具:firewall-config配置文件:/etc/firewalld/防火墙命令防火墙配置案例允许http服务firewall-cmd --permanent--add-service=http开启22端口（ssh服务）firewall-cmd --permanent --add-port=22/tcp保存防火墙到配置文件中firewall-cmd --reload

--list-all 列出所有规则

--reload 保存到配置文件中

--permanent永久生效Firewall-config配置打开firewall-config图形界面的防火墙配置选项卡选择永久区域选项卡中选择work区域选择服务子选项卡勾选https服务重载防火墙使之永久生效，结束配置处理永久区域--permanent：永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。获取永久选项所支持的服务firewall-cmd--permanent--get-services获取永久选项所支持的ICMP类型列表firewall-cmd--permanent--get-icmptypes获取支持的永久区域firewall-cmd--permanent--get-zones启用区域中的服务firewl-calmd--permanent[--zone=<zone>]--add-service=<service>此举将永久启用区域中的服务。如果未指定区域，将使用默认区域。禁用区域中的一种服务firewall-cmd--permanent[--zone=<zone>]--remove-service=<service>查询区域中的服务是否启用firewall-cmd--permanent[--zone=<zone>]--query-service=<service>富规则富规则，是一种表达性语言，就是通过“richlanguage”特性提供的一种不需要了解iptables语法的，通过高级语言配置复杂IPv4和IPv6防火墙规则的机制。可表达firewalld基本语法中未涵盖的自定义防火墙规则，可用于表达基本的允许/拒绝规则，可用于配置记录(面向syslog和auditd)及端口转发、伪装和速率限制 RedHatEnterpriseLinux7提供了命令行支持的富语言特性，也提供了对于图形界面firewall-config的支持。

通过“richlanguage”语法，可以用比直接接口方式更易理解的方法建立复杂防火墙规则，此外还能永久保留设置，这种语言可以用来配置区域，也仍然支持现行的配置方式，所有命令都必须以root用户身份运行，并且任何已配置的富规则还将显示在firewall-cmd--list-all和firewall-cmd--list-all-zones输出中。管理富规则firewall-cmd--permanent--zone=classroom--add-rich-rule='rulefamily=ipv4sourceaddress=1/32reject'firewall-cmd--add-rich-rule='ruleservicename=ftplimitvalue=2/maccept'firewall-cmd--permanent--add-rich-rule='ruleprotocolvalue=espdrop'firewall-cmd--permanent--zone=work--add-rich-rule='ruleservicename="ssh"logprefix="ssh"level="notice"limitvalue="3/m"acceptFirewalld防火墙管理SELinux管理救援模式Podman容器管理本章目录SELinux的基本概念SELinux(Security-EnhancedLinux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件SELinux的介绍SELinux是一组可确定哪个进程能访问文件、目录、端口等的安全规则SELinux标签有若干上下文，最关注类型上下文SELinux的目标是保护用户数据免受已泄露的系统服务的威胁SELinux模式强制模式：Enforcing许可模式：Permissive禁用模式：Disabled显示和修改SELinux模式修改/etc/sysconfig/selinux文件显示当前SELinux模式：getenforce修改当前SELinux模式：setenforce显示和修改SELinux文件上下文查看进程的SELinux上下文：ps-axZ查看文件的SELinux上下文：ls-lZ修改文件的SELinux上下文：

chcon-t上下文类型文件名管理SELinux布尔值SELinux布尔值是更改SELinux策略行为的开关SELinux布尔值是可以启用或者禁用的规则显示布尔值：getsebool–a修改布尔值：setsebool–P类型on|off管理SELinux服务端口SELinux可以通过策略管理服务的开放端口显示SELinux的http服务端口semanageport-l|grephttp修改SELinux的http服务端口semanageport-a-thttp_port_t-ptcp808Firewalld防火墙管理SELinux管理救援模式Podman容器管理本章目录救援模式救援模式介绍安装用启动介质根文件系统必须正常救援模式启动救援模式密码破解密码破解，按e键进入密码破解找到linux16开头的行，在行尾添加rd.break关键字（如果是图形界面，需要添加console=tty0）修改完成，ctrl+x保存退出挂载根分区

mount–orw,remount/sysroot改变目录

chroot/sysroot修改密码

passwdroot应用文件标签

touch/.autorelabelexitexit修复引导问题修复常见启动问题如果/etc/fstab文件故障，系统不能正常启动，如下文件错误系统启动后，错误提示如下除了通过中断模式修复外，也可在该页面直接输入root用户密码，进入修复模式，如下所示Firewalld防火墙管理SELinux管理救援模式Podman容器管理本章目录容器容器（Container）是一种轻量级的虚拟化技术，所谓的轻量级虚拟化，就是使用了一种操作系统虚拟化技术，这种技术允许一个操作系统上用户空间被分割成几个独立的单元在内核中运行，彼此互不干扰，这样一个独立的空间，就被称之为一个容器。容器与虚拟机的区别(1)容器与虚拟机的区别(2)podman介绍

Podman是一个开源项目，可在大多数Linux平台上使用并开源在GitHub上。Podman是一个无守护进程的容器引擎，用于在Linux系统上开发，管理和运行OpenContainerInitiative（OCI）容器和容器镜像。Podman提供了一个与Docker兼容的命令行前端，它可以简单地作为Dockercli，简单地说你可以直接添加别名：aliasdocker=podman来使用podman。podman介绍Podman控制下的容器可以由root用户运行，也可以由非特权用户运行。Podman管理整个容器的生态系统，其包括pod，容器，容器镜像，和使用libpodlibrary的容器卷。Podman专注于帮助您维护和修改OCI容器镜像的所有命令和功能，例如拉取和标记。它允许您在生产环境中创建，运行和维护从这些映像创建的容器Podman与docker区别docker需要在我们的系统上运行一个守护进程（dockerdaemon），而Podman不需要启动容器的方式不同：dockercli命令通过API跟DockerEngine(引擎)交互告诉它我想创建一个container，然后dockerEngine才会调用OCIcontainerruntime(runc)来启动一个container。这代表cont