Linux-Day10.系统安全保护&web服务管理

小孙姐2025-08-06 16:02

今日目标：

日志管理
系统安全保护 SELinux（重点）
构建基本web服务（重点）

环境准备

还原快照网络配置完成，开启虚拟机A与虚拟机B

用真机连通虚拟机去操作，准本好Xshell

一、常用的网络工具

ip命令

1.查看IP地址

]# ip address show #查看网卡ip地址

]# ip a s #显示网卡和ip，

2.添加IP地址

]# ip address add 192.168.10.1/24 dev eth0

]# ip a s

]# ip address add 192.168.20.1/24 dev eth0

]# ip a s

3.删除添加IP地址

]# ip address del 192.168.10.1/24 dev eth0

ping 命令，测网络连接

选项 -c 包个数

root@svr7 \~\]# ping -c 2 192.168.4.7 \[root@svr7 \~\]# ping -c 3 192.168.4.207 ## **二、** **日志管理** 日志管理式系统和程序的"日记本"，记录系统程序运行中发生的各种事件，通过查看日志，了解及排除故障，是信息安全控制的"依据" 日志由系统服务rsyslog统一记录/管理，日志消息采用文本格式。主要记录事件发生的时间、主机、进程、内容 * ### 常见的日志文件 |-------------------|------------------| | ****日志文件**** | ****主要用途**** | | /var/log/messages | 记录内核消息、各种服务的公共消息 | | /var/log/dmesg | 记录系统启动过程的各种消息 | | /var/log/cron | 记录与cron计划任务相关的消息 | | /var/log/maillog | 记录邮件收发相关的消息 | | /var/log/secure | 记录与访问限制相关的安全消息 | ![](https://i-blog.csdnimg.cn/direct/32844238e53a4a13b64d2675e38bca60.png) ![](https://i-blog.csdnimg.cn/direct/299735abef6e43c9b0b09b63d805e947.png) * ### 通用分析工具 * tail、less、grep 、head、 cat等文本浏览/检索命令 * tailf、 * awk、sed等格式化过滤工具 ****tailf：实时跟踪日志消息**** \[root@svr7 /\]# echo 123456 \> /opt/1.txt \[root@svr7 /\]# tailf /opt/1.txt ![](https://i-blog.csdnimg.cn/direct/0337cfca85dd4f3a8fe7300ed1c45762.png) **users、who、w 命令** * 查看已登录的用户信息，详细度不同 ![](https://i-blog.csdnimg.cn/direct/966918c44598425dbb676deb66fc56fa.png) ![](https://i-blog.csdnimg.cn/direct/30250b62c4e24091a36927b658569364.png) **last、lastb 命令** * 查看最近登录成功/失败的用户信息 \[root@svr7 /\]# ****users**** \[root@svr7 /\]# ****who**** pts：命令行终端 \[root@svr7 /\]#****last**** #登录成功的用户 \[root@svr7 /\]# ****lastb**** #登录失败的用户 **Linux内核定义的事件紧急程度** * **分为 0\~7 共8种优先级别** * **其数值越小，表示对应事件越紧急/重要** ![](https://i-blog.csdnimg.cn/direct/980b24327cfe4e8aa9701da77f85113e.png) ## ****三、系统安全保护**** ****SELinux概述**** * Security-Enhanced Linux * 美国NSA国家安全局主导开发，一套增强Linux系统安全的强制访问控制体系 * 集成到Linux内核（2.6及以上）中运行 * RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略，以及管理工具 ![](https://i-blog.csdnimg.cn/direct/a86d984a6f284d8b80bf47776f633792.png) * SELinux的运行模式 * enforcing（强制）、permissive（宽松） * disabled（彻底禁用） 任何模式变成disabled模式，都要经历重启系统 * 切换运行模式 * 临时切换：setenforce 1或0 * 固定配置：/etc/selinux/config 文件 虚拟机A \[root@svr7 /\]# ****getenforce**** #查看当前运行模式 Enforcing #代表强制 \[root@svr7 /\]# ****setenforce 0**** #修改当前运行模式 \[root@svr7 /\]# ****getenforce**** Permissive \[root@svr7 /\]# ****vim /etc/selinux/config**** SELINUX=****permissive**** 虚拟机B：同上 ## 四**、** ****系统故障修复**** ![](https://i-blog.csdnimg.cn/direct/bd2d90bd73724df6935f86a88709879b.png) ![](https://i-blog.csdnimg.cn/direct/46d558e81ccc4f49ae0236db06fb6fc9.png) ![](https://i-blog.csdnimg.cn/direct/f153de21783c43a09b035cba66fb6948.png) ![](https://i-blog.csdnimg.cn/direct/9ff648968b7b44e595508af83cc61df0.png) ![](https://i-blog.csdnimg.cn/direct/8a3b2e2f73774c9baf8b8d015eccd8f2.png) ## **五** **、** ****构建基本服务**** ### ****虚拟机A：**构建Web服务** Web服务：提供一个页面内容的服务 提供Web服务的软件：httpd、Nginx、tomcat http协议：超文本传输协议 虚拟机A： 1.安装软件包 \[root@svr7 \~\]# yum -y install httpd 2.运行提供Web服务程序 \]# \> /etc/resolv.conf #清空此文件内容，（DNS服务器配置文件） \]# ****/usr/sbin/httpd**** #绝对路径运行程序 \]# pgrep -l httpd #查看进程信息 3.书写一个页面文件 \[root@svr7 \~\]# ****vim /var/www/html/index.html**** 哈哈嘻嘻呵呵\~\~\~\~\~\~\~ 4.浏览器访问测试 \[root@svr7 \~\]#****curl http://192.168.4.7**** 哈哈嘻嘻呵呵\~\~\~\~\~\~\~ ### ****虚拟机A**** **：构建FTP服务** FTP：文本传输协议 实现FTP服务功能的软件：vsftpd 默认共享数据的主目录：/var/ftp/ 1.安装软件包 \[root@svr7 \~\]#****yum -y install vsftpd**** 2.运行程序 \[root@svr7 \~\]#****/usr/sbin/vsftpd**** \[root@svr7 \~\]#****pgrep -l vsftpd**** ![](https://i-blog.csdnimg.cn/direct/5f6dc5be2f3244839c316c245084f1cf.png) 3.访问测试 \[root@svr7 \~\]# ****curl ftp://192.168.4.7**** ## **六、** ****防火墙的策略管理**** 作用：隔离，严格过滤入站，放行出站 硬件防火墙 软件防火墙 * 系统服务：firewalld----\>iptables * 管理工具：firewall-cmd、firewall-config 根据所在的网络场所区分，预设保护规则集 * ****public****：仅允许访问本机的ssh、dhcp、ping服务 * ****trusted****：允许任何访问 * ****block****：拒绝任何来访请求，明确拒绝客户端 * ****drop****：丢弃任何来访的数据包，不给任何回应 防火墙判定原则： 1.查看客户端请求中来源IP地址，查看自己所有区域中规则，那个区域中有该源IP地址规则，则进入该区域 2.进入默认区域（默认情况下为public） **防火墙默认区域的修改** 虚拟机A \]# firewall-cmd --get-default-zone #查看默认区域 虚拟机B \]# curl http://192.168.4.7 #失败 \]# curl ftp://192.168.4.7 #失败 \]# ping -c 2 192.168.4.7 #成功 虚拟机A：修改默认区域 \]# firewall-cmd --set-default-zone=trusted 虚拟机B \]# curl http://192.168.4.7 #成功 \]# curl ftp://192.168.4.7 #成功 **防火墙public区域添加规则** 虚拟机A：添加允许的协议 \]# ****firewall-cmd --set-default-zone=public**** \]#****firewall-cmd --zone=public --list-all**** #查看我们public中的规则 \]# ****firewall-cmd --zone=public --add-service=http**** #给public中添加http规则 虚拟机B \]#****curl http://192.168.4.7**** #成功 \]# ****curl ftp://192.168.4.7**** #失败 虚拟机A：添加允许的协议 \]# ****firewall-cmd --zone=public --add-service=ftp**** \]# ****firewall-cmd --zone=public --list-all**** 虚拟机B \]# ****curl http://192.168.4.7**** #成功 \]#****curl ftp://192.168.4.7**** #成功 **防火墙public区域添加规则（永久）** -永久（--permanent） \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]# ****firewall-cmd --zone=public --list-all**** \]# ****firewall-cmd --permanent --zone=public --add-service=http**** \]# ****firewall-cmd --permanent --zone=public --add-service=ftp**** \]# ****firewall-cmd --zone=public --list-all**** \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]#****firewall-cmd --zone=public --list-all**** **防火墙public区域删除规则（永久）** \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]# ****firewall-cmd --zone=public --list-all**** \]#****firewall-cmd --permanent --zone=public --remove-service=http**** \]# ****firewall-cmd --zone=public --list-all**** \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]#****firewall-cmd --zone=public --list-all****

上一篇：使用 Layui 替换 Yii 基础模板的默认 Bootstrap 样式并尝试重写导航栏组件

下一篇：Diesel的类型安全: 深入理解Rust ORM的类型系统

热门推荐

01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code 02全球最强模型Grok4，国内已可免费使用！（附教程）03UV安装并设置国内源 04腾讯还是太全面了，限时免费！超全CodeBuddy IDE保姆级教程！（附案例）05KGG转MP3工具|非KGM文件|解密音频 06如何在 Cursor 中继续使用 Claude 07VMware Workstation Pro虚拟机的下载和安装图文保姆级教程(附下载链接)08Cursor 终端“卡死/无响应”问题的解法 09Claude Code+智谱GLM-4.5接入指南（附实测体验）10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南