1、1Linux安全管理21.Firewalld防火墻管理2.SELinux管理3.救援模式4.Podman容器管理本章目錄3 RHEL8系統的防火墻功能由firewalld服務實現 firewalld服務用來管理host-level，支持動態管理的防火墻守護進程 iptables，ip6tables用來管理low-level，支持靜態管理的防火墻守護進程 4 firewall守護進程目前具有以下功能： 支持絕大多數 system-config-firewall 所具有的功能。 實現動態管理，對于規則的更改不再需要重新創建整個防火墻。 一個簡單的系統托盤區圖標來顯示防火墻狀態，方便開啟和關閉防火墻

2、。 提供 firewall-cmd 命令行界面進行管理及配置工作。 為 libvirt 提供接口及界面 實現 firewall-config 圖形化配置工具。 實現系統全局及用戶進程的防火墻規則配置管理。 區域 Zone 的支持。 NetworkManager 防火墻規則助手5 區域：定義了網絡連接的可信等級。這是一個一對多的關系，這意味著一次連接可以僅僅是一個區域的一部分，而一個區域可以用于很多連接。 服務：是端口和/或協議入口的組合。備選內容包括 netfilter 助手模塊以及 IPv4、IPv6地址。 端口和協議：定義了 tcp 或 udp 端口，端口可以是一個端口或者端口范圍。 IC

3、MP 阻塞：可以選擇 Internet 控制報文協議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創建的響應。 偽裝：私有網絡地址可以被映射到公開的IP地址。這是一次正規的地址轉換。 端口轉發：端口可以映射到另一個端口以及/或者其他主機6 由firewalld 提供的區域按照從不信任到信任的順序排序。丟棄：任何流入網絡的包都被丟棄，不作出任何響應。只允許流出的網絡連接。阻塞：任何進入的網絡連接都被拒絕，并返回 IPv4 的 icmp-host-prohibited 報文或者 IPv6 的 icmp6-adm-prohibited 報文。只允許由該系統初始化的網絡連接。公開（默認）：用

4、以可以公開的部分。你認為網絡中其他的計算機不可信并且可能傷害你的計算機。只允許選中的連接接入。外部：用在路由器等啟用偽裝的外部網絡。你認為網絡中其他的計算機不可信并且可能傷害你的計算機。只允許選中的連接接入。隔離區（dmz）：用以允許隔離區（dmz）中的電腦有限地被外界網絡訪問。只接受被選中的連接。工作：用在工作網絡。你信任網絡中的大多數計算機不會影響你的計算機。只接受被選中的連接。家庭：用在家庭網絡。你信任網絡中的大多數計算機不會影響你的計算機。只接受被選中的連接。內部：用在內部網絡。你信任網絡中的大多數計算機不會影響你的計算機。只接受被選中的連接。受信任的：允許所有網絡連接。7 配置命令：

5、firewall-cmd 配置圖形工具:firewall-config 配置文件:/etc/firewalld/8 防火墻配置案例 允許http服務 firewall-cmd-permanent -add-service=http 開啟22端口（ssh服務） firewall-cmd-permanent -add-port=22/tcp 保存防火墻到配置文件中 firewall-cmd-reload-list-all列出所有規則-reload保存到配置文件中 -permanent 永久生效9 打開firewall-config圖形界面的防火墻10 配置選項卡選擇永久11 區域選項卡中選擇wor

6、k區域 選擇服務子選項卡 勾選https服務12 重載防火墻使之永久生效，結束配置13 -permanent：永久選項不直接影響運行時的狀態。這些選項僅在重載或者重啟服務時可用。獲取永久選項所支持的服務firewall-cmd -permanent -get-services 獲取永久選項所支持的ICMP類型列表firewall-cmd -permanent -get-icmptypes 獲取支持的永久區域firewall-cmd -permanent -get-zones 啟用區域中的服務firewl-calmd -permanent -zone= -add-service= 此舉將永久啟用

7、區域中的服務。如果未指定區域，將使用默認區域。禁用區域中的一種服務firewall-cmd -permanent -zone= -remove-service= 查詢區域中的服務是否啟用firewall-cmd -permanent -zone= -query-service= 14 富規則，是一種表達性語言，就是通過“rich language”特性提供的一種不需要了解iptables語法的，通過高級語言配置復雜 IPv4 和 IPv6 防火墻規則的機制。可表達firewalld基本語法中未涵蓋的自定義防火墻規則，可用于表達基本的允許/拒絕規則，可用于配置記錄(面向syslog和auditd

8、)及端口轉發、偽裝和速率限制Red Hat Enterprise Linux 7 提供了命令行支持的富語言特性，也提供了對于圖形界面 firewall-config 的支持。通過“rich language”語法，可以用比直接接口方式更易理解的方法建立復雜防火墻規則，此外還能永久保留設置，這種語言可以用來配置區域，也仍然支持現行的配置方式，所有命令都必須以 root 用戶身份運行，并且任何已配置的富規則還將顯示在firewall-cmd -list-all和firewall-cmd -list-all-zones輸出中。15 firewall-cmd -permanent -zone=clas

9、sroom -add-rich-rule=rule family=ipv4 source address=1/32 reject firewall-cmd -add-rich-rule=rule service name=ftp limit value=2/m accept firewall-cmd -permanent -add-rich-rule=rule protocol value=esp drop firewall-cmd -permanent -zone=work -add-rich-rule=rule service name=ssh log prefix=

10、ssh level=notice limit value=3/m accept 161.Firewalld防火墻管理2.SELinux管理3.救援模式4.Podman容器管理本章目錄17 SELinux(Security-Enhanced Linux) 是美國國家安全局（NSA）對于強制訪問控制的實現，是 Linux上最杰出的新安全子系統。 NSA是在Linux社區的幫助下開發了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的任務中所需要文件18 SELinux是一組可確定哪個進程能訪問文件、目錄、端口等的安全規則 SELinux標簽有若干上下文，最關注類型上下文 SELi

11、nux的目標是保護用戶數據免受已泄露的系統服務的威脅19 強制模式：Enforcing 許可模式：Permissive 禁用模式：Disabled20 修改/etc/sysconfig/selinux文件 顯示當前SELinux模式：getenforce 修改當前SELinux模式：setenforce21 查看進程的SELinux上下文：ps -axZ 查看文件的SELinux上下文：ls -lZ 修改文件的SELinux上下文： chcon -t 上下文類型 文件名22 SELinux布爾值是更改SELinux策略行為的開關 SELinux布爾值是可以啟用或者禁用的規則 顯示布爾值：get

12、sebool a 修改布爾值：setsebool P 類型 on|off23 SELinux可以通過策略管理服務的開放端口 顯示SELinux的http服務端口 semanage port -l | grep http 修改SELinux的http服務端口 semanage port -a -t http_port_t -p tcp 808241.Firewalld防火墻管理2.SELinux管理3.救援模式4.Podman容器管理本章目錄25 救援模式介紹 安裝用啟動介質 根文件系統必須正常26 啟動救援模式27 密碼破解，按e鍵進入28 找到linux16開頭的行，在行尾添加rd.brea

13、k關鍵字（如果是圖形界面，需要添加console=tty0） 修改完成，ctrl+x保存退出 掛載根分區 mount o rw,remount /sysroot 改變目錄 chroot /sysroot 修改密碼 passwd root 應用文件標簽 touch /.autorelabel exit exit29 修復常見啟動問題 如果/etc/fstab文件故障，系統不能正常啟動，如下文件錯誤 系統啟動后，錯誤提示如下 除了通過中斷模式修復外，也可在該頁面直接輸入root用戶密碼，進入修復模式，如下所示301.Firewalld防火墻管理2.SELinux管理3.救援模式4.Podman容器

14、管理本章目錄31 容器（Container）是一種輕量級的虛擬化技術，所謂的輕量級虛擬化，就是使用了一種操作系統虛擬化技術，這種技術允許一個操作系統上用戶空間被分割成幾個獨立的單元在內核中運行，彼此互不干擾，這樣一個獨立的空間，就被稱之為一個容器。323334 Podman是一個開源項目，可在大多數Linux平臺上使用并開源在GitHub上。Podman是一個無守護進程的容器引擎，用于在Linux系統上開發，管理和運行Open Container Initiative（OCI）容器和容器鏡像。Podman提供了一個與Docker兼容的命令行前端，它可以簡單地作為Docker cli，簡單地說你

15、可以直接添加別名：alias docker = podman來使用podman。35 Podman控制下的容器可以由root用戶運行，也可以由非特權用戶運行。Podman管理整個容器的生態系統，其包括pod，容器，容器鏡像，和使用libpod library的容器卷。Podman專注于幫助您維護和修改OCI容器鏡像的所有命令和功能，例如拉取和標記。它允許您在生產環境中創建，運行和維護從這些映像創建的容器36 docker需要在我們的系統上運行一個守護進程（docker daemon），而Podman不需要 啟動容器的方式不同： docker cli 命令通過API跟 Docker Engine(引擎)交互告訴它我想創建一個container，然后docker Engine才會調用OCI container runtime(runc)來啟動一個con