??Linux網(wǎng)絡(luò)防火墻

防火墻管理工具

firewalld概述

Centos 系統(tǒng)中集成了多款防火墻管理工具，其中 firewalld服務(wù)是默認(rèn)的防火墻配置管理工具，它擁有基于 CLI（命 令行界面）和基
于 GUI（圖形用戶界面）的兩種管理方式。

firewalld 中常用的區(qū)域名稱及策略規(guī)則

firewalld防火墻的配置

??	使用firewall-cmd 命令行工具。
??	使用firewall-config 圖形工具。
??	編寫/etc/firewalld/中的配置文件。

啟動： systemctl start firewalld
關(guān)閉： systemctl stop firewalld
查看狀態(tài)：
systemctl status firewalld firewall-cmd --state
開機(jī)禁用 ： systemctl disable firewalld
開機(jī)啟用 ： systemctl enable firewalld

終端管理工具

Linux 命令時(shí)曾經(jīng)聽到，命令行終端是一種極富效率的工作方式，firewalld-cmd 是 firewalld 防火墻配置管理工具的 CLI（命令行界面）版本。

firewalld-cmd 命令中使用的參數(shù)以及作用

注意：

使用 firewalld 配置的防火墻策略默認(rèn)為運(yùn)行時(shí)(Runtime)模式，又稱為當(dāng)前生效模式，而且隨著系統(tǒng)的重啟會失效。如果想讓配 置策略一直存在，就需要使用永久(Permanent)模式了，方法就是在用 firewall-cmd 命令正常設(shè)置防火墻策略時(shí)

添加 --permanent 參數(shù)，

這樣配置的防火墻策略就可以永久生效了。但是，永久生效模式有一個(gè)“不近人情”的特點(diǎn)，就是使用它設(shè)置的策略只有在系統(tǒng)重啟之后才能自動生效。

常用示例

區(qū)域管理示例

?? 顯示當(dāng)前系統(tǒng)中的默認(rèn)區(qū)域

firewall-cmd --get-default-zone

?? 顯示默認(rèn)區(qū)域的所有規(guī)則

firewall-cmd --list-all

?? 顯示當(dāng)前正在使用的區(qū)域及其對應(yīng)的網(wǎng)卡接口

firewall-cmd --get-active-zones

?? 設(shè)置默認(rèn)區(qū)域

firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone

服務(wù)管理示例

?? 查看默認(rèn)區(qū)域內(nèi)允許訪問的所有服務(wù)

 firewall-cmd --list-service

?? 添加httpd 服務(wù)到public 區(qū)域

 firewall-cmd --add-service=http --zone=public

?? 查看public 區(qū)域已配置規(guī)則

firewall-cmd --list-all --zone=public

?? 刪除public 區(qū)域的httpd 服務(wù)

firewall-cmd --remove-service=http --zone=public

?? 同時(shí)添加httpd、https 服務(wù)到默認(rèn)區(qū)域，設(shè)置成永久生效

firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload 
firewall-cmd --list-all

端口管理示例

?? 查看開啟的端口列表

[root@localhost local]# firewall-cmd --zone=public --list-ports

?? 開啟某端口

[root@localhost local]# firewall-cmd --zone=public --add-port=8080/tcp
success

?? 關(guān)閉某端口

[root@localhost local]# firewall-cmd --zone=public --remove-port=8080/tcp success

SELinux

安全增強(qiáng)型 Linux（Security-Enhanced Linux）簡稱 SELinux，它是一個(gè) Linux 內(nèi)核模塊，也是 Linux 的一個(gè)安全子系統(tǒng)。

SELinux 主要由美國國家安全局開發(fā)。2.6 及以上版本的 Linux 內(nèi)核都已經(jīng)集成了 SELinux 模塊。

說明：

當(dāng)您全神貫注地使用它給照片進(jìn)行美顏 的時(shí)候，它卻在后臺默默監(jiān)聽著瀏覽器中輸入的密碼信息，而這顯然不應(yīng)該是它應(yīng)做的事情，SELinux 安全子系統(tǒng)就是為了杜絕此類情況而設(shè)計(jì)的，它能夠從多方面監(jiān)控違法行為。

??	對服務(wù)程序的功能進(jìn)行限制（確保程序干不了出格的事情）
??	對文件資源的訪問資源限制（SELinux安全上下文確保文件資源只能被其他所屬的服務(wù)程序進(jìn)行訪問）

SELinux 服務(wù)有三種配置模式：

??	enforcing：強(qiáng)制啟用安全策略模式，將攔截服務(wù)的不合法請求。
??	permissive：遇到服務(wù)越權(quán)訪問時(shí)，只發(fā)出警告而不強(qiáng)制攔截。
??	disabled：對于越權(quán)的行為不警告也不攔截。

SELinux 服務(wù)的主配置文件中，定義的是 SELinux 的默認(rèn)運(yùn)行狀態(tài)，可以將其理解為系 統(tǒng)重啟后的狀態(tài)，因此它不會在更改后立即生效?？梢允褂?getenforce 命令獲得當(dāng)前 SELinux 服務(wù)的運(yùn)行模式：

[root@linuxprobe ~]# getenforce
Enforcing

注意：

修改 SELinux 當(dāng)前的運(yùn)行模式（0 為禁用，1 為啟用）。這種修改只是臨時(shí)的，在系統(tǒng) 重啟后就會失效：
setenforce 0
getenforce

??Linux內(nèi)核機(jī)制

今天為大家解讀一副來自極客漫畫網(wǎng)站作者Daniel Stori關(guān)于Linux有趣的作品。

地基

解釋：

地基（底層）由一排排的文件柜組成，然有序，文件柜里放置著“文件”—-電腦中的文件。左上角，有一只胸前掛著421號牌的小企鵝，它表示著PID （進(jìn)程ID(Process ID) )為421的進(jìn)程、它正在查看文件柜中的文件，這代表系統(tǒng)中正有一個(gè)進(jìn)程在訪問文件系統(tǒng)。在右下角有一只小狗，它是看門狗(watchdog) 、這代表對文件系統(tǒng)的監(jiān)控。

地面層

看完了地基，接下來我們來看地基上面的一層，都有哪些東西。

解釋:

左上角有一個(gè)小企鵝，站著，仿佛在說些什么這顯然是一位家長的人物，不過看起來周圍坐的那些小企鵝不是很聽話—你看有好多走神的、自顧自聊天的——“喂喂，說你呢，哇塞娃(191)，轉(zhuǎn)過身來”。它代表著Linux內(nèi)核中的初始化（init）進(jìn)程,
也就是我們常說的PID 為1的進(jìn)程。桌子上坐的小企鵝都在等待狀態(tài)(wait)中，等待工作任務(wù)。

大門

解釋：

在這層的左側(cè)，有一只號牌為1341的小企鵝，守在門口，門上寫著80，說明這個(gè)PID為1341的小企子負(fù)責(zé)接待80端口，也就是我們常說的HTTP （網(wǎng)站）的端口。小企鵝頭上有一片羽毛，這片羽毛大有來歷，它是著名的HTTP服務(wù)器Apache 的Logo。

解釋：

他就是著名的HTTP服務(wù)器Aache的Logo。

解釋：

FTP協(xié)議有點(diǎn)老舊了，目前用的人也比以前少了，以至于這里都沒人接待了。

解析：

22端口是SSH端口，是一個(gè)非常重要的遠(yuǎn)程連接端口，通常通過這個(gè)端口進(jìn)行遠(yuǎn)程管理,所以對這個(gè)端口進(jìn)來的人要仔細(xì)審查。它的身上寫的52，說明它是第52個(gè)小企鵝。

時(shí)間

解釋：

在這一層中，有一個(gè)身上寫著219的小企鵝，他正滿頭大汗地看著自己的手表。這只小企鵝就是定時(shí)任務(wù)(Crontab） ，他會時(shí)刻關(guān)注時(shí)間，查看是否要去做某個(gè)工作。

解釋：

有兩個(gè)小企鵝扛著管道(PipeLine）在行走，一只小企鵝可以把自己手上的東西通過這個(gè)管道。傳遞給后面的小企鵝。

二樓

解釋：

這一層有很多屏幕，每個(gè)屏幕寫著TTY(這就是對外的終端)。

敵人

解釋：

這個(gè)小丑是誰呀？我也不知道或許是病毒吧。文章來源地址http://www.zghlxwxcb.cn/news/detail-436927.html

到了這里，關(guān)于從零開始學(xué)習(xí)Linux運(yùn)維，成為IT領(lǐng)域翹楚（十）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！