Linux（centOS）的安全命令

先全部列出来：

命令及其作用：

- `setenforce 0`：将 SELinux 临时切换为宽松模式（permissive）

- `setenforce 1`：将 SELinux 临时切换为强制模式（enforcing）

- `selinux的配置文件在/etc/selinux/config

如：

1 # This file controls the state of SELinux on the system.

2 # SELINUX= can take one of these three values:

3 # enforcing - SELinux security policy is enforced.

4 # permissive - SELinux prints warnings instead of enforcing.

5 # disabled - No SELinux policy is loaded.

6 SELINUX=enforcing 后边可以改为 enforcing 或 permissive

7 # SELINUXTYPE= can take one of three values:

8 # targeted - Targeted processes are protected,

9 # minimum - Modification of targeted policy. Only selected processes are protected.

10 # mls - Multi Level Security protection.

11 SELINUXTYPE=targeted

如果您不想重启系统，只是想重新应用 SELinux 的配置，可以执行以下命令：

restorecon -Rv /

- `systemctl restart network`：重启网络服务

- `modprobe -r <网卡名称> ; modprobe <网卡名称>`：重新加载网卡驱动（先卸载再加载）

- `nmcli con reload`：重置网卡配置 - `systemctl stop firewalld`：临时停止 firewalld 防火墙服务

- `firewall-cmd --get-default-zone`：查看防火墙的默认区域

- `firewall-cmd --set-default-zone=trusted`：将防火墙的默认区域设置为 trusted

- `firewall-cmd --zone=public --list-all`：查看 public 区域的配置

- `firewall-cmd --zone=public --add-service=ftp`：在 public 区域添加 ftp 服务的允许规则

- `firewall-cmd --zone=public --add-service=http`：在 public 区域添加 http 服务的允许规则

- `firewall-cmd --zone=public --remove-service=ftp`：在 public 区域删除 ftp 服务的允许规则

- `firewall-cmd --permanent --zone=public --add-service=http`：永久在 public 区域添加 http 服务的允许规则

- `firewall-cmd --permanent --zone=public --add-service=ftp`：永久在 public 区域添加 ftp 服务的允许规则

- `firewall-cmd --reload`：加载防火墙的永久策略

- `firewall-cmd --zone=block --add-source=192.168.4.207`：在 block 区域添加指定源 IP（192.168.4.207）的规则

- `firewall-cmd --zone=block --list-all`：查看 block 区域的所有规则

- `systemctl is-enabled firewalld`：查看 firewalld 是否开机自启

- `systemctl disable firewalld`：永久关闭 firewalld 服务，使其不再开机自启

SELinux** - 运行模式 -

强制（enforcing） -

宽松（permissive） -

禁用（disable） -

切换运行模式 -

临时切换：`setenforce 0|1` （分别对应宽松和强制）

• 永久切换：修改 `/etc/selinux/config` 配置文件

**防火墙** - 分类

• 硬件防火墙：保护一个网络中所有的主机 -

软件防火墙：保护本机 - 相关内容 -

系统服务：`firewalld` - 管理工具：`firewall-cmd` - 分区 - `public` ：仅允许访问本机的 `ssh` 、 `dhcp` 、 `ping` 服务 - `trusted` ：允许任何访问 - `block` ：服务器阻塞任何来访请求，客户端得到拒绝回应 - `drop` ：服务器丢弃任何来访的数据包，客户端没有回应 - 判定规则 - 首先查看访问请求的来源 IP 地址，然后查看哪个区域有该源 IP 地址规则，进入该区域 - 进入默认区域（默认情况下为 `public` ） - 实验操作 - 修改默认区域 - 查看：`firewall-cmd --get-default-zone` - 设置：`firewall-cmd --set-default-zone=trusted` - 在区域中添加允许的协议 - 临时： - 修改默认区域：`firewall-cmd --set-default-zone=public` - 查看区域配置：`firewall-cmd --zone=public --list-all` - 添加协议：`firewall-cmd --zone=public --add-service=ftp` 、 `firewall-cmd --zone=public --add-service=http` - 永久： - 添加协议：`firewall-cmd --permanent --zone=public --add-service=http` 、 `firewall-cmd --permanent --zone=public --add-service=ftp` - 加载永久策略：`firewall-cmd --reload` - 查看区域配置：`firewall-cmd --zone=public --list-all` - 删除协议：`firewall-cmd --zone=public --remove-service=ftp` - 单独拒绝客户端访问：`firewall-cmd --zone=block --add-source=192.168.4.207` 、 `firewall-cmd --zone=block --list-all` - 控制防火墙 - 临时关闭：`systemctl stop firewalld` - 查看是否开机自启：`systemctl is-enabled firewalld` - 永久关闭：`systemctl disable firewalld`