Loading...
墨滴

MARKMA

2021/03/26  阅读:13  主题:默认主题

信创02

2 操作系统网络配置

2.1 DNS

2.1.1 什么是DNS

  • 虽然因特网上的节点都可以用IP地址惟一标识,并且可以通过IP地址被访问,但即使是将32位的二进制IP地址写成4个0~255的十位数形式,也依然太长、太难记。因此,人们发明了域名(Domain Name)。
  • 域名可将一个IP地址关联到一组有意义的字符上去。
  • 用户访问一个网站的时候,既可以输入该网站的IP地址,也可以输入其域名,对访问而言,两者是等价的。
  • 例如:微软公司的Web服务器的IP地址是207.46.230.229,其对应的域名是www.microsoft.com,不管用户在浏览器中输入的是207.46.230.229还是www.microsoft.com,都可以访问其Web网站。
  • 域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。

2.1.2 修改操作系统的DNS服务器为114.114.114.114

首先登陆ssh连接远程服务器,随后输入命令,利用vi更改dns:
vi /etc/resolv.conf
随后更改dns为114dns即可。 利用dig查看是否更改成功: 可以看到,server一行已改为114dns,说明修改成功。

2.2 查看操作系统的路由配置

命令:route 其中每列的意义为:
目标、网关、子网掩码、flags、跃点、引用、使用、接口

其中flags的表示为:

  • U Up表示此路由当前为启动状态
  • H Host,表示此网关为一主机
  • G Gateway,表示此网关为一路由器
  • R Reinstate Route,使用动态路由重新初始化的路由
  • D Dynamically,此路由是动态性地写入
  • M Modified,此路由是由路由守护程序或导向器动态修改
  • link

2.3 SELinux

2.3.1 什么是SELinux

安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
在这种访问控制体系的限制下进程只能访问那些在他的任务中所需要文件。
SELinux策略是白名单原则,所以你需要非常清楚你的各项操作都需要哪些访问权限。如果嫌麻烦就需要关闭SELinux。

2.3.2 如何关闭SELinux

输入命令更改文件内容:
vi /etc/selinux/config
将SELINUX行改为disabled。 随后重启linux系统:
reboot 检查是否关闭SELinux:
sestatus

2.4 iptables

2.4.1 什么是iptables

  • iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。
  • 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
  • 它可以配置有状态的防火墙。

2.4.2启用一条开放80端口的iptables策略并将其持久化

查看端口:
iptables -vnL
其中ACCEPT表示端口开启,REJECT表示关闭。 添加80端口:

iptables -I INPUT 1 -i eth0 -p tcp --dport 80 -m state --sta>te NEW,ESTABLISHED -j ACCEPT

意思是增加一条规则,在第一行,启动防火墙端口80。
再使用iptables -vnL 发现已经打开了端口。 随后将其持久化:
service iptables save
随后重启防火墙:
service iptables restart

2.5 firewalld

2.5.1 什么是firewalld

  • firewalld和iptables都是防火墙
  • 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。

2.5.2 启动一条开放80端口并限制IP为自己本机公网IP访问的策略

首先启动firewalld防火墙:
systemctl start firewalld
随后查看firewalld状态:
systemctl status firewalld 开启80端口,出现success即成功:
firewall-cmd --zone=public --add-port=80/tcp --permanent 重启防火墙:
systemctl restart firewalld.service
然后更改public.xml文件于/etc/firewalld/zones/为:

 <short>Public</short>
 <description>For use in public areas. You do not trust the >other computers on networks to not harm your computer. Only >selected in
coming connections are accepted.</description>
 <service name="ssh"/>
 <service name="mdns"/>
 <service name="dhcpv6-client"/>
 <rule family="ipv4">
 <source address="你的公网ip"/>
 <accept/>
 </rule>
 <service name="cockpit"/>
 <port port="80" protocol="tcp"/>
</zone>

随后重启防火墙。查看是否限制成功:
firewall-cmd --list-all 出现正确的rich rules行即成功。

2.6 nmap

2.6.1 什么是nmap

  • NMAP(Network Mapper)是一款开放源代码的网络探测和安全审核的工具。
  • 它的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题.Nmap以新颖的方式使用原始IP报文来发现网络上有一些主机,那些主机提供什么服务(应用程序名和版本),那些服务运行在什么操作系统(包括版本信息),它们使用什么类型的报文过滤器/防火墙,以及一堆其他功能。
  • 虽然Nmap通常用于安全审核,许多系统管理员和网络管理员也用它来做一些日常的工作,选择查看整个网络的信息,管理服务升级计划,以及监视主机和服务的运行。

2.6.2 安装nmap

yum install nmap

2.6.3 用nmap对云主机进行端口扫描

nmap 你的云主机ip

MARKMA

2021/03/26  阅读:13  主题:默认主题

作者介绍

MARKMA