《Linux操作系統(tǒng)》06Linux網(wǎng)絡(luò)服務(wù)

六目項(xiàng)Linux網(wǎng)絡(luò)服務(wù)企業(yè)級卓越人才培養(yǎng)方案（信息類專業(yè)集群）學(xué)習(xí)目標(biāo)了解防火墻的過濾方法熟悉三種安全機(jī)制的使用掌握SSH服務(wù)的使用方法具有使用防火墻保護(hù)本機(jī)數(shù)據(jù)的能力網(wǎng)絡(luò)配置ifconfig文件介紹配置說明ens33CentOS7中默認(rèn)網(wǎng)卡名mtu最大傳輸單元單位為字節(jié)inetIP地址netmask子網(wǎng)掩碼broadcast廣播地址lo代表localhost本機(jī)網(wǎng)絡(luò)配置說明軟件包管理網(wǎng)絡(luò)配置修改屬性說明DEVICE設(shè)備名稱BOOTPROTO開機(jī)協(xié)議，有none（不指定）,static（靜態(tài)IP）,dhcp（動態(tài)IP）IPADDRip地址NETMASK子網(wǎng)掩碼GATWAY網(wǎng)段，該網(wǎng)段的第一個(gè)ipONBOOT是否開機(jī)啟動DNS1域名解析服務(wù)器網(wǎng)卡屬性SSH遠(yuǎn)程服務(wù)遠(yuǎn)程服務(wù)

遠(yuǎn)程服務(wù)對于所有使用Linux服務(wù)器的用戶都是十分有用的工具。遠(yuǎn)程服務(wù)可以讓運(yùn)維人員和服務(wù)器管理員更好的管理主機(jī)。

有一定經(jīng)驗(yàn)的同學(xué)一定使用過訊QQ上的一個(gè)功能，叫做遠(yuǎn)程桌面。遠(yuǎn)程桌面的功能是在經(jīng)過一方請求，另一方同意后，可以使請求方對同意方的電腦及進(jìn)行訪問和操作。而遠(yuǎn)程桌面就是日常生活中最容易接觸到的遠(yuǎn)程服務(wù)的一種。通過例子可以知道，遠(yuǎn)程服務(wù)就是對通過自己使用的計(jì)算機(jī)去對目標(biāo)計(jì)算機(jī)或者服務(wù)器進(jìn)行訪問并取得對計(jì)算機(jī)控制權(quán)的一種服務(wù)。

既然遠(yuǎn)程服務(wù)是對另一臺計(jì)算機(jī)或服務(wù)器訪問的一種服務(wù)，那么一定要保證遠(yuǎn)程服務(wù)的安全性。SSH遠(yuǎn)程服務(wù)SSHSSH全稱SecureShell，是一種建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議，可以通過數(shù)據(jù)封包加密技術(shù)，將等待傳輸?shù)臄?shù)據(jù)封包加密后再傳輸?shù)骄W(wǎng)絡(luò)上，因此數(shù)據(jù)安全性較高。簡而言之，SSH是一種用于計(jì)算機(jī)之間加密登陸的安全協(xié)議。

早期，計(jì)算機(jī)之間都是采用明文通信，一旦被不法分子截獲信息，通信的內(nèi)容就會被暴露出來。在1955年，芬蘭人設(shè)計(jì)了SSH協(xié)議，將登陸的信息全部加密，并在世界范圍內(nèi)推廣。SSH共分為兩個(gè)版本分別為SSH1和SSH2。SSH1與SSH2最大的不同之處就在于SSH2對SSH1的算法問題進(jìn)行了修復(fù)，可以更加有效保護(hù)傳輸?shù)陌踩浴SH遠(yuǎn)程服務(wù)工作機(jī)制

公鑰：提供給遠(yuǎn)程主機(jī)進(jìn)行數(shù)據(jù)加密的行為，換言之，遠(yuǎn)程主機(jī)通過目標(biāo)計(jì)算機(jī)提供的公鑰數(shù)據(jù)加密。

私鑰：私鑰與公鑰一一對應(yīng)，通過公鑰加密的信息，只有使用對應(yīng)的私鑰才可以解密。所以私鑰是不能外流的，只能保護(hù)在自己的主機(jī)上。私鑰與公鑰的工作方式如圖6-5所示。SSH遠(yuǎn)程服務(wù)工作流程圖在明白公鑰和私鑰之后，才能對SSH協(xié)議的工作流程進(jìn)行進(jìn)一步的了解。SSH工作流程如圖iptables包過濾系統(tǒng)防火墻簡介

防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，可防止不可預(yù)測的具有破壞性的非法侵入，能根據(jù)安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。iptables作為CentOS系統(tǒng)中必不可少的包過濾系統(tǒng)，用戶可以設(shè)計(jì)自己的出入站規(guī)則控制指定程序后端口能否被外部主機(jī)訪問，從而提高本機(jī)安全性。出站：本機(jī)訪問外部網(wǎng)絡(luò)。入站：外部網(wǎng)絡(luò)中的主機(jī)通過網(wǎng)絡(luò)訪問本機(jī)iptables包過濾系統(tǒng)iptables命令選項(xiàng)

在通常情況下管理員需要iptables命令添加、刪除防火墻的規(guī)則，iptables語法格式可通過iptables–help命令進(jìn)行查看，其用法和依法格式如下所示。iptables[-ttable]command[match][-j]（1）-ttable該選項(xiàng)能夠指定將操作的規(guī)則表，iptables內(nèi)建規(guī)則表共有四個(gè)分別為：fileter、nat、mangle、Raw，當(dāng)未指定規(guī)則表時(shí)默認(rèn)對filter進(jìn)行操作。iptables表由5個(gè)規(guī)則鏈組成，如表規(guī)則鏈說明INPUT處理輸入數(shù)據(jù)包OUTPUT處理輸出數(shù)據(jù)包PORWARD處理轉(zhuǎn)發(fā)數(shù)據(jù)包PREROUTING用于目標(biāo)地址轉(zhuǎn)換POSTOUTING用于源地址轉(zhuǎn)換iptables包過濾系統(tǒng)數(shù)據(jù)包傳輸過程ptables數(shù)據(jù)包傳輸過程如圖iptables包過濾系統(tǒng)常用操作（1）在filter表中插入一條新的入站規(guī)則，丟棄192.168.22.33主機(jī)發(fā)送到本機(jī)的所有數(shù)據(jù)包，并列出filter表中所有規(guī)則，并如代碼所示。代碼[root@master~]#iptables-IINPUT-s192.168.22.33-jDROP[root@master~]#iptables–L增加規(guī)則結(jié)果如圖iptables包過濾系統(tǒng)常用操作

查看filter表中的防火墻規(guī)則同時(shí)顯示其每條條規(guī)則的編號，并根據(jù)編號將INPUT鏈中的第一條規(guī)則刪除，查看刪除規(guī)則如代碼所示代碼[root@master~]#iptables-DINPUT1[root@master~]#iptables-nL--line-number刪除查看規(guī)則編號如圖iptables包過濾系統(tǒng)firewalld防火墻簡介

firewalld防火墻作為Centos7中的一大新特性，能夠提供對系統(tǒng)的安全訪問控制。firewalld能夠?qū)Σ煌?guī)模的內(nèi)部網(wǎng)絡(luò)進(jìn)行集中管理，在firewalld中定義的安全規(guī)則能夠在整個(gè)內(nèi)部網(wǎng)絡(luò)中都能夠正常運(yùn)行，無須在內(nèi)部網(wǎng)的所有主機(jī)上設(shè)置安全策略，firewalld關(guān)閉啟動操作代碼所示。代碼[root@masterfirewalld]#systemctlstopfirewalld.service#關(guān)閉firewalld[root@masterfirewalld]#systemctlstatusfirewalld.service#查看firewalld狀態(tài)[root@masterfirewalld]#systemctlstartfirewalld#開啟firewalld[root@masterfirewalld]#systemctlstatusfirewalld.service#查看firewalld狀態(tài)firewalld開啟關(guān)閉狀態(tài)如圖iptables包過濾系統(tǒng)firewalld防火墻簡介firewall-cmd命令選項(xiàng)如表所示選項(xiàng)說明--get-default-zone獲取默認(rèn)zone信息--set-default-zone=<zone>設(shè)置默認(rèn)zone--get-active-zones顯示當(dāng)前正在使用的zone信息--get-zones顯示系統(tǒng)預(yù)定義的zone--get-services顯示系統(tǒng)預(yù)定義的服務(wù)名稱--get-zone-of-interface=<interface>查詢某個(gè)接口與那個(gè)zone匹配--get-zone-of-source=<source>[/<mask>]查詢某個(gè)源地址與哪個(gè)zone匹配--list-all-zones顯示所有的zone信息的所有規(guī)則--add-service=<service>向zone中添加允許訪問的端口--add-source=<source>[/<mask>]將源地址與zone綁定--list-all列出某個(gè)zone的所有規(guī)則--remove-port=<portid>[-<portid>]/<protocol>從zone中移除允許某個(gè)端口的規(guī)則--remove-source=<source>[/<mask>]將源地址與zone解除綁定--remove-interface=<interface>將網(wǎng)卡接口與zone解除綁定--permanent設(shè)置永久有效規(guī)則，默認(rèn)情況規(guī)則都是臨時(shí)的--reload重新加載防火墻規(guī)則--state獲取firewalld狀態(tài)--zone=<zone>選擇要處理的規(guī)則集iptables包過濾系統(tǒng)firewalld防火墻簡介規(guī)則選項(xiàng)如表選項(xiàng)說明--add-rich-rule='rule'向指定區(qū)域中添加rule--remove-rich-rule='rule'從指定區(qū)域刪除rule--query-rich-rule='rule'查詢r(jià)ule是否添加到指定區(qū)域，如果存在則返回0，否則返回1--list-rich-rules輸出指定區(qū)域的所有富規(guī)則iptables包過濾系統(tǒng)firewalld防火墻簡介規(guī)則選項(xiàng)如表選項(xiàng)說明--add-rich-rule='rule'向指定區(qū)域中添加rule--remove-rich-rule='rule'從指定區(qū)域刪除rule--query-rich-rule='rule'查詢r(jià)ule是否添加到指定區(qū)域，如果存在則返回0，否則返回1--list-rich-rules輸出指定區(qū)域的所有富規(guī)則iptables包過濾系統(tǒng)用戶配置文件firewalld的默認(rèn)配置文件是用戶配置地址（/etc/firewalld/）。當(dāng)需要一個(gè)文件時(shí)firewalld會先去用戶配置地址尋找訪問規(guī)則，如果能找到就直接使用，否則使用系統(tǒng)配置地址中的默認(rèn)配置。此文件結(jié)構(gòu)主要的優(yōu)點(diǎn)在于當(dāng)需要修改系統(tǒng)默認(rèn)配置時(shí)，只需將系統(tǒng)配置地址中的文件拷貝到用戶配置地址進(jìn)行修改即可，這樣做的優(yōu)點(diǎn)是可以使用戶清楚的看見對哪些文件進(jìn)行了修改和創(chuàng)建等操作，回復(fù)默認(rèn)配置時(shí)只需要將用戶配置地址中的文件刪除即可。firewalld配置文件與目錄主要由三個(gè)目錄和兩個(gè)配置文件組成，如表6所示。類型文件及目錄名稱文件firewalld.conflockdown-whitelist.xml目錄zonesservicesicmptypesiptables包過濾系統(tǒng)zone（規(guī)則集）

在Firewall中共有九個(gè)zone配置文件，每個(gè)配置文件均是一種安全解決方案，在這九種安全解決方案中起實(shí)質(zhì)性作用的是每種安全解決方案中的內(nèi)容而不是其文件名，規(guī)則詳細(xì)說明如表所示。安全解決方案說明block.xml所有網(wǎng)絡(luò)連接都被IPv4和IPv6所拒絕dmz.xml限制外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問，只接受選定的傳入網(wǎng)絡(luò)對主機(jī)進(jìn)行連接。drop.xml丟棄所有網(wǎng)絡(luò)傳入的數(shù)據(jù)包，并不做回應(yīng)，且僅允許傳出網(wǎng)絡(luò)external.xml用于啟用了地址偽裝的外部網(wǎng)絡(luò)，只接受選定的傳入網(wǎng)絡(luò)連接。home.xml常應(yīng)用于家庭網(wǎng)絡(luò)，可信任其他計(jì)算機(jī)不會危害你的計(jì)算的情況。只接受被選擇的傳入網(wǎng)絡(luò)連接internal.xml常應(yīng)用于可基本信任網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)不會危害你的計(jì)算的情況，在內(nèi)部網(wǎng)絡(luò)中只接受經(jīng)過選擇的連接。public.xml常應(yīng)用于網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)可能會對你的計(jì)算機(jī)造成危害的情況，在公共網(wǎng)絡(luò)下只接受被選擇的傳入網(wǎng)絡(luò)連接，trusted.xml接受所有網(wǎng)絡(luò)連接work.xml用于工作區(qū)，可基本信任網(wǎng)絡(luò)內(nèi)的電腦不會危害你的計(jì)算機(jī)，只接收經(jīng)過選擇的連接SELinux安全系統(tǒng)SELinux簡介SELinux(Security-EnhancedLinux)是由NSA（美國國家安全局）領(lǐng)導(dǎo)開發(fā)的一種基于域類型模型（domain-type）的安全子系統(tǒng)，能夠通過使用無法回避的訪問限制來阻止直接或間接的非法入侵（強(qiáng)制訪問控制）和增強(qiáng)系統(tǒng)抵御o-Day攻擊（利用未公開的漏洞進(jìn)行攻擊）的能力，在這種訪問控制體系的限制下，進(jìn)程只能訪問在其任務(wù)中所需要的文件。目前Linux內(nèi)核2.6以上版本中都集成了SELinux功能。SELinux安全系統(tǒng)配置文件SELINUX配置項(xiàng)為SELinux的模式選項(xiàng)，有三個(gè)可選參數(shù)分別為enforcing、permissive或disabled，詳細(xì)說明如表所示。選項(xiàng)說明enforcing完整執(zhí)行模式，這是SELinux的主要模式，使用此模式SELinux會攔截非法資源訪問permissive僅警告模式，只是審核遭受拒絕的消息，訪問無權(quán)限資源時(shí)SELinux不會進(jìn)行攔截，但會將本次訪問記錄到日志disabled關(guān)閉模式，在此模式下SELinux不會進(jìn)行任何動作，因?yàn)镾ELinux是內(nèi)核模塊功能，所以設(shè)置為此模式后需要重啟計(jì)算機(jī)生效SELinuxTYPE用來設(shè)置SELinux的訪問控制類型，其中有兩種可選類型分別為targeted策略和mls策略，只能通過配置文件進(jìn)行修改，類型詳細(xì)說明如表6-13所示類型說明targeted僅對服務(wù)進(jìn)程進(jìn)行訪問控制mls對系統(tǒng)中的所有進(jìn)程進(jìn)行控制SELinux安全系統(tǒng)安全上下文（1）USER（用戶）SELinux上下文中的用戶類似于Linux系統(tǒng)的UID，能夠?yàn)長inux系統(tǒng)提供用戶識別和記錄身份信息，三種常見用戶如表所示。用戶說明user_u普通用戶登錄系統(tǒng)后的預(yù)設(shè)，表示普通用戶無特權(quán)用戶system_u開機(jī)過程中系統(tǒng)進(jìn)程的預(yù)設(shè)，表示系統(tǒng)進(jìn)程，通過用戶可以確認(rèn)身份類型rootroot登錄后的預(yù)設(shè)，表示最高權(quán)限（2）ROLE（角色）在targeted策略下角色并不會起到實(shí)質(zhì)性的作用，在targeted策略環(huán)境中所有的進(jìn)程文件的角色都是system_r，SELinux中的角色主要有三類如表6-15所示。角色說明object_r通常為文件、目錄和設(shè)備的角色system_r進(jìn)程角色system_r在targeted策略下用戶的角色一般為system_r，用戶角色的概念類似用戶組，不同的角色具有不同的身份權(quán)限，一個(gè)用戶可以具備多個(gè)角色，但是同一時(shí)間只能使用一個(gè)角色SELinux安全系統(tǒng)修改安全上下文（1）chcon命令該命