Linux-Day10.系统安全保护&web服务管理

今日目标:

  • 日志管理

  • 系统安全保护 SELinux(重点)

  • 构建基本web服务(重点)

环境准备

还原快照网络配置完成,开启虚拟机A与虚拟机B

用真机连通虚拟机去操作,准本好Xshell

、常用的网络工具

ip命令

1.查看IP地址

]# ip address show #查看网卡ip地址

]# ip a s #显示网卡和ip,

2.添加IP地址

]# ip address add 192.168.10.1/24 dev eth0

]# ip a s

]# ip address add 192.168.20.1/24 dev eth0

]# ip a s

3.删除添加IP地址

]# ip address del 192.168.10.1/24 dev eth0

ping 命令,测网络连接

  • 选项 -c 包个数

root@svr7 \~\]# ping -c 2 192.168.4.7 \[root@svr7 \~\]# ping -c 3 192.168.4.207 ## **二、** **日志管理** 日志管理式系统和程序的"日记本",记录系统程序运行中发生的各种事件,通过查看日志,了解及排除故障,是信息安全控制的"依据" 日志由系统服务rsyslog统一记录/管理,日志消息采用文本格式。主要记录事件发生的时间、主机、进程、内容 * ### 常见的日志文件 |-------------------|------------------| | ****日志文件**** | ****主要用途**** | | /var/log/messages | 记录内核消息、各种服务的公共消息 | | /var/log/dmesg | 记录系统启动过程的各种消息 | | /var/log/cron | 记录与cron计划任务相关的消息 | | /var/log/maillog | 记录邮件收发相关的消息 | | /var/log/secure | 记录与访问限制相关的安全消息 | ![](https://i-blog.csdnimg.cn/direct/32844238e53a4a13b64d2675e38bca60.png) ![](https://i-blog.csdnimg.cn/direct/299735abef6e43c9b0b09b63d805e947.png) * ### 通用分析工具 * tail、less、grep 、head、 cat等文本浏览/检索命令 * tailf、 * awk、sed等格式化过滤工具 ****tailf:实时跟踪日志消息**** \[root@svr7 /\]# echo 123456 \> /opt/1.txt \[root@svr7 /\]# tailf /opt/1.txt ![](https://i-blog.csdnimg.cn/direct/0337cfca85dd4f3a8fe7300ed1c45762.png) **users、who、w 命令** * 查看已登录的用户信息,详细度不同 ![](https://i-blog.csdnimg.cn/direct/966918c44598425dbb676deb66fc56fa.png) ![](https://i-blog.csdnimg.cn/direct/30250b62c4e24091a36927b658569364.png) **last、lastb 命令** * 查看最近登录成功/失败的用户信息 \[root@svr7 /\]# ****users**** \[root@svr7 /\]# ****who**** pts:命令行终端 \[root@svr7 /\]#****last**** #登录成功的用户 \[root@svr7 /\]# ****lastb**** #登录失败的用户 **Linux内核定义的事件紧急程度** * **分为 0\~7 共8种优先级别** * **其数值越小,表示对应事件越紧急/重要** ![](https://i-blog.csdnimg.cn/direct/980b24327cfe4e8aa9701da77f85113e.png) ## ****三、系统安全保护**** ****SELinux概述**** * Security-Enhanced Linux * 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 * 集成到Linux内核(2.6及以上)中运行 * RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具 ![](https://i-blog.csdnimg.cn/direct/a86d984a6f284d8b80bf47776f633792.png) * SELinux的运行模式 * enforcing(强制)、permissive(宽松) * disabled(彻底禁用) 任何模式变成disabled模式,都要经历重启系统 * 切换运行模式 * 临时切换:setenforce 1或0 * 固定配置:/etc/selinux/config 文件 虚拟机A \[root@svr7 /\]# ****getenforce**** #查看当前运行模式 Enforcing #代表强制 \[root@svr7 /\]# ****setenforce 0**** #修改当前运行模式 \[root@svr7 /\]# ****getenforce**** Permissive \[root@svr7 /\]# ****vim /etc/selinux/config**** SELINUX=****permissive**** 虚拟机B:同上 ## 四**、** ****系统故障修复**** ![](https://i-blog.csdnimg.cn/direct/bd2d90bd73724df6935f86a88709879b.png) ![](https://i-blog.csdnimg.cn/direct/46d558e81ccc4f49ae0236db06fb6fc9.png) ![](https://i-blog.csdnimg.cn/direct/f153de21783c43a09b035cba66fb6948.png) ![](https://i-blog.csdnimg.cn/direct/9ff648968b7b44e595508af83cc61df0.png) ![](https://i-blog.csdnimg.cn/direct/8a3b2e2f73774c9baf8b8d015eccd8f2.png) ## **五** **、** ****构建基本服务**** ### ****虚拟机A:**构建Web服务** Web服务:提供一个页面内容的服务 提供Web服务的软件:httpd、Nginx、tomcat http协议:超文本传输协议 虚拟机A: 1.安装软件包 \[root@svr7 \~\]# yum -y install httpd 2.运行提供Web服务程序 \]# \> /etc/resolv.conf #清空此文件内容,(DNS服务器配置文件) \]# ****/usr/sbin/httpd**** #绝对路径运行程序 \]# pgrep -l httpd #查看进程信息 3.书写一个页面文件 \[root@svr7 \~\]# ****vim /var/www/html/index.html**** 哈哈嘻嘻呵呵\~\~\~\~\~\~\~ 4.浏览器访问测试 \[root@svr7 \~\]#****curl http://192.168.4.7**** 哈哈嘻嘻呵呵\~\~\~\~\~\~\~ ### ****虚拟机A**** **:构建FTP服务** FTP:文本传输协议 实现FTP服务功能的软件:vsftpd 默认共享数据的主目录:/var/ftp/ 1.安装软件包 \[root@svr7 \~\]#****yum -y install vsftpd**** 2.运行程序 \[root@svr7 \~\]#****/usr/sbin/vsftpd**** \[root@svr7 \~\]#****pgrep -l vsftpd**** ![](https://i-blog.csdnimg.cn/direct/5f6dc5be2f3244839c316c245084f1cf.png) 3.访问测试 \[root@svr7 \~\]# ****curl ftp://192.168.4.7**** ## **六、** ****防火墙的策略管理**** 作用:隔离,严格过滤入站,放行出站 硬件防火墙 软件防火墙 * 系统服务:firewalld----\>iptables * 管理工具:firewall-cmd、firewall-config 根据所在的网络场所区分,预设保护规则集 * ****public****:仅允许访问本机的ssh、dhcp、ping服务 * ****trusted****:允许任何访问 * ****block****:拒绝任何来访请求,明确拒绝客户端 * ****drop****:丢弃任何来访的数据包,不给任何回应 防火墙判定原则: 1.查看客户端请求中来源IP地址,查看自己所有区域中规则,那个区域中有该源IP地址规则,则进入该区域 2.进入默认区域(默认情况下为public) **防火墙默认区域的修改** 虚拟机A \]# firewall-cmd --get-default-zone #查看默认区域 虚拟机B \]# curl http://192.168.4.7 #失败 \]# curl ftp://192.168.4.7 #失败 \]# ping -c 2 192.168.4.7 #成功 虚拟机A:修改默认区域 \]# firewall-cmd --set-default-zone=trusted 虚拟机B \]# curl http://192.168.4.7 #成功 \]# curl ftp://192.168.4.7 #成功 **防火墙public区域添加规则** 虚拟机A:添加允许的协议 \]# ****firewall-cmd --set-default-zone=public**** \]#****firewall-cmd --zone=public --list-all**** #查看我们public中的规则 \]# ****firewall-cmd --zone=public --add-service=http**** #给public中添加http规则 虚拟机B \]#****curl http://192.168.4.7**** #成功 \]# ****curl ftp://192.168.4.7**** #失败 虚拟机A:添加允许的协议 \]# ****firewall-cmd --zone=public --add-service=ftp**** \]# ****firewall-cmd --zone=public --list-all**** 虚拟机B \]# ****curl http://192.168.4.7**** #成功 \]#****curl ftp://192.168.4.7**** #成功 **防火墙public区域添加规则(永久)** -永久(--permanent) \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]# ****firewall-cmd --zone=public --list-all**** \]# ****firewall-cmd --permanent --zone=public --add-service=http**** \]# ****firewall-cmd --permanent --zone=public --add-service=ftp**** \]# ****firewall-cmd --zone=public --list-all**** \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]#****firewall-cmd --zone=public --list-all**** **防火墙public区域删除规则(永久)** \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]# ****firewall-cmd --zone=public --list-all**** \]#****firewall-cmd --permanent --zone=public --remove-service=http**** \]# ****firewall-cmd --zone=public --list-all**** \]# ****firewall-cmd --reload**** #加载防火墙永久策略 \]#****firewall-cmd --zone=public --list-all****

相关推荐
程序员的世界你不懂4 分钟前
Junit5+Maven+RestAssured+Allure接口自动化框架
运维·自动化
水冗水孚14 分钟前
😱😱😱CPU和内存飙到100%——我的火山引擎服务器被印度的ip恶意植入挖矿程序了!😡😡😡
服务器·ubuntu·centos
大博士.J28 分钟前
网页自动化脚本selenium防检测
运维·selenium·自动化
wanhengidc39 分钟前
DDOS攻击和CC攻击对服务器的伤害有哪些?
运维·服务器·ddos
gnawkhhkwang39 分钟前
Linux 调度器函数sched_*系统调用及示例
linux·服务器
春时似衿里39 分钟前
【Navicat 连接MySQL时出现错误1251:客户端不支持服务器请求的身份验证协议;请考虑升级MySQL客户端】
服务器·数据库·mysql
帅帅梓1 小时前
Linux lvm逻辑卷管理
linux·运维·数据库
上海云盾商务经理杨杨1 小时前
2025年服务器僵尸攻防战:从AI勒索到量子免疫,构建下一代“数字抗体”
运维·服务器·人工智能
科大饭桶1 小时前
Linux系统编程Day5 -- Vim工具的使用
linux·运维·服务器·c语言·c++
XR101yqm12211 小时前
川翔云电脑:引领开启算力无边界时代
服务器·网络·云计算