1.实验一:nginx的https搭建
·防火墙不能关闭,让其开放http、https协议
·该网站具备账户验证
·有证书
###服务器:192.168.153.100
(1)安装nginx,并开放http、https协议
#下载nginx,添加域名解析,修改nginx主配置文件(访问域名------www.zry.com,默认根目录------/web),创建/web目录,写"How are you?"到/web的默认访问文件,查看nginx配置有无错误,重新加载nginx
#给firewalld添加http和https协议(--premanent是永久添加,可以不写,如果写了,需要重新加载(reload)firewalld),修改/web的安全上下文(与原先默认的根目录/usr/share/nginx/html的安全上下文相同)
#在服务器重新加载nginx服务,到客户端配置,然后先访问www.zry.com,观察能否访问成功,成功则进入下一配置
(2)创建证书和基于https的虚拟主机
#创建秘钥和证书(证书依次输入国家、省份、城市、公司、部门、服务器名、邮箱),将密钥和证书移动到/etc/nginx下,配置https服务,绑定虚拟主机和证书
#再次在服务器重新加载nginx服务,然后进入客户端访问https://www.zry.com,观察能否有证书下访问成功(清除ssl即证书缓存:在firedox浏览器输入about:preferences#privacy------找到Certificates------点击View Certificates------在Servers标签中找到www.zry.com并删除)
(3)添加账户密码登录
#创建一个管理网站登录的用户,安装httpd-tools,把用户和网站绑定,编辑nginx主配置文件,在虚拟主机添加管理网站和密码文件,然后查看nginx配置有无错误,重新加载nginx
root@ServerNH \~# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
root@ServerNH \~# nginx -s reload
###客户端:192.168.153.200
#添加域名解析,然后通过浏览器访问https://www.zry.com(清除ssl缓存和访问地址缓存后再访问;访问地址缓存:在firedox浏览器找到右上角的三条杠------找到History------点击Clear recent history------点击Clear Now)
2.试验二:修改安全上下文
(实验一做完后回到初始快照,做实验二到实验四)
###服务器:192.168.153.100
#安装好nginx并添加域名解析后,创建/web目录,修改nginx主配置文件(修改访问域名和根目录),关闭firewalld,重新加载nginx
(1)复制策略修改/web上下文
###服务器:192.168.153.100
#查看nginx原先默认根目录/usr/share/nginx/html的标签,复制策略类型给现在的根目录/web
###客户端:192.168.153.200
#添加域名解析后,访问www.zry.com
(2)引用复制法
###服务器:192.168.153.100
#通过restorecon恢复/web标签,然后用reference来引用复制标签给/web
###客户端:192.168.153.200
#访问192.168.153.100
(3)指定策略永久修改/web的安全上下文
###服务器:192.168.153.100
#恢复/web的安全上下文,指定策略给/web及/web下的所有文件,然后再次恢复/web的安全上下文(semanage 永久修改是指修改seliunx数据库信息,需要restorecon再次恢复才能赋值成功)(fcontext -a------给文件/目录添加,-d------删除)
###客户端:192.168.153.200
#访问www.zry.com和192.168.153.100
3.实验三:开启iptables服务允许/禁止客户端访问
###服务器:192.168.153.100,客户端:192.168.153.200
(1)安装并开启iptables
#在服务器 ,安装iptables-nft-service,关闭并锁住firewalld,立即开启并自启动iptables,查看iptables表
#进到客户端访问www.zry.com
(2)指定添加允许ip访问
#在服务器清空iptables,给客户端192.168.153.200添加运行访问服务
#到客户端访问www.zry.com
(3)指定添加禁止ip访问
在服务器删除INPUT表中第一条服务,添加禁止客户端访问服务
#到客户端访问192.168.153.100
(4)在INPUT表中再次插入指定允许ip访问,插入允许ip到禁止ip下面
#在服务器,插入到INPUT第二行允许ip访问
#到客户端访问192.168.153.100
#因为iptables中服务都是优先从上到下依次执行,INPUT表中第1行禁止客户端访问,第2行允许客户端访问,所以客户端访问不了
(5)在INPUT表中插入允许网卡访问
#在服务器,插入允许网卡访问到第1行
#到客户端访问www.zry.com和192.168.153.100
#因为iptables的优先有上到下原则,又网卡允许所有ip可以访问,所以客户端能访问
4.实验四:开启firewalld服务允许客户端访问
###服务器:192.168.153.100,客户端:192.168.153.200
(1)重新开启firewalld
#在服务器,关闭iptables,取消锁住并开启firewalld服务,查看firewalld表的详细信息
#到客户端访问www.zry.com
(2)修改firewalld的区域
#在服务器,查看firewalld的所有区域(trusted------信任区域,home------家庭区域,internal------内部区域,work------工作区域,public------公共区域,external------外部区域,dmz------隔离区域,block------阻塞区域,drop------丢弃区域),永久修改区域为trusted,并查看详细信息
#到客户端再次访问www.zry.com
(3)通过添加临时http服务允许客户端访问
#在服务器,修改区域为block,临时添加http服务
#到客户端访问192.168.153.100
(4)通过永久添加80端口允许客户端访问
#在服务器,永久添加80端口(添加端口时必须跟着协议),永久修改改的是数据库,所以需要重新加载firewalld,查看详细信息
#到客户端访问www.zry.com
(5)通过富贵则,指定ip允许访问
#在服务器,永久删除80端口,永久添加192.168.153.200访问(可以不永久),永久添加富贵则后需要重新下载(如果没有永久添加则无需重新加载),查看firewalld的详细信息,同时查看富贵则信息(--list-rich-rules)
#到客户端同时访问www.zry.com和192.168.153.100
###删除富贵则时,添加和删除命令必须一模一样,查看富贵则信息;再次到客户端访问
