System Network & System Security & System Log (系统网络 & 系统安全 & 系统日志) – Page 48

July 16, 2020June 19, 2022

[内容] Linux SELinux 布尔（boolean）值的设置

内容一：开启 SELinux 布尔（boolean）值

1.1 显示当前 SELinux 状态

# getenforce

1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔（boolean）值

1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔（boolean）值的方法

1.2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

1.2.1.2 重启系统

# reboot

1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔（boolean）值的方法

# setenfoce 1

（补充：系统重启后失效）

内容二：显示所有 SELinux 布尔（boolean）值

# semanage boolean -l

内容三：布尔（boolean）值的管理

3.1 允许某一个 SELinux 布尔（boolean）值开启

3.1.1 临时允许某一个 SELinux 布尔（boolean）值开启

3.1.1.1 临时允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 1

或者：

# setsebool <boolean value> on

3.1.1.2 临时允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 1

或者：

# setsebool httpd_can_network_connect on

3.1.2 永久允许某一个 SELinux 布尔（boolean）值开启

3.1.2.1 永久允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 1

或者：

# setsebool -P <boolean value> on

3.1.2.2 永久允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 1

或者：

# setsebool -P httpd_can_network_connect on

3.2 取消某一个 SELinux 布尔（boolean）值开启

3.2.1 临时取消某一个 SELinux 布尔（boolean）值开启

3.2.1.1 临时取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 0

或者：

# setsebool <boolean value> off

3.2.1.2 临时取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 0

或者：

# setsebool httpd_can_network_connect off

3.2.2 永久取消某一个 SELinux 布尔（boolean）值关闭

3.2.2.1 永久取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 0

或者：

# setsebool -P <boolean value> off

3.2.2.2 永久取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 0

或者：

# setsebool -P httpd_can_network_connect off

July 15, 2020October 19, 2022

[工具] Shell 只对某个 IP 地址开放 TCP 22 端口（iptables 版）

介绍

基本信息

名称：只对某个 IP 地址开放 TCP 22 端口
作用：只对某个 IP 地址开放 TCP 22 端口

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本分割线里的变量

ipaddress=192.168.1.1 #要开放 TCP 22 端口的 IP 地址

脚本

#!/bin/bash

####################### Separator ########################
ipaddress=192.168.1.1
####################### Separator ########################

systemctl stop firewalld
systemctl disable firewalld

yum -y install iptables-services
zypper -n install iptables

systemctl enable iptables
systemctl start iptables

sysctl -w net.ipv4.ip_forward=1
iptables -t filter -F
iptables -t nat -F

iptables -P OUTPUT ACCEPT
#iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -t filter -A INPUT -j ACCEPT -s $ipaddress -p tcp --destination-port 22
iptables -t filter -A INPUT -j DROP -p tcp --destination-port 22

service iptables save
systemctl restart iptables

July 6, 2020June 20, 2022

[内容] 静态路由表的添加（CentOS Linux & RHEL 版）

内容一：临时路由器表到管理

1.1 案例一：添加某个 IP 地址的路由表

# route add -host 192.168.2.1 netmask 255.255.255.255 gw 192.168.1.1 dev eth0

或者：

# ip route add 192.168.2.1/32 via 192.168.1.1 dev eth0

（补充：这里以指向 192.168.2.1 IP 地址的流量需要通过 eth0 网卡和 192.168.1.1 网关 IP 地址为例）

1.2 案例二：删除某个 IP 地址的路由表

# route del -host 192.168.2.1

（补充：这里删除 192.168.2.1 IP 地址的路由表为例）

# ip route del 192.168.2.1/32 via 192.168.1.1 dev eth0

（补充：这里删除 192.168.2.1 IP 地址导向 192.168.1.1 IP 地址的路由表为例）

1.3 案例三：添加某个网段的路由表

# route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.1

（补充：这里以指向 192.168.2.0/24 网段的流量需要通过 192.168.1.1 网关 IP 地址为例）

或者：

# ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0

（补充：这里以指向 192.168.2.0/24 网段的流量需要通过 192.168.1.1 eth0 网关 IP 地址为例）

1.4 案例四：删除某个网段的路由表

# route del -net 192.168.2.0/24

（补充：这里删除 192.168.2.0/24 网段的路由表为例）

或者：

# ip route del 192.168.2.0/24 via 192.168.1.1 dev eth0

（补充：这里以指向 192.168.2.0/24 网段的流量需要通过 192.168.1.1 eth0 网关 IP 地址为例）

内容二：添加永久路由表

2.1 添加永久路由表

2.1.1 案例一

# nmcli con mod eth0 ipv4.routes "192.168.2.0/24 192.168.3.1"

（补充：这里以给 eth0 网卡添加 192.168.2.0/24 通过 192.168.3.1 的网关 IP 地址为例）

2.1.2 案例二

# vim /etc/sysconfig/network-scripts/route-enp1s0

创建以下内容：

192.168.100.3/32 via 192.168.101.101 dev enp1s0

（补充：这里以添加 192.168.100.3/32 通向 192.168.101.101 网关的永久路由为例）

2.2 启动要添加路由表的网卡

2.2.1 启动要添加路由表的网卡的格式

# nmcli connection up <the name of the network card to add the routing table to>

或者：

# reboot

2.2.2 启动要添加路由表的网卡的案例

# nmcli connection up enp1s0

或者：

# reboot

（补充：这里以重启名为 enp1s0 网卡为例）

June 26, 2020July 6, 2022

[工具] Shell 取消所有已开放的端口策略（firewalld 版）

介绍

基本信息

作者：朱明宇
名称：取消所有已开放的端口策略
作用：取消所有已开放的端口策略

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本

#!/bin/bash

systemctl start firewalld
systemctl enable firewalld

for i in `firewall-cmd --list-all | grep ports | egrep [0-9] | awk -F':' '{print $2}'`
do
        pports=`echo $i | awk -F'/' '{print $1}'`
        ptus=`echo $i | awk -F'/' '{print $2}'`

        firewall-cmd --remove-port=$pports/$ptus --permanent

done

firewall-cmd --add-service=ssh --permanent
firewall-cmd --reload

June 26, 2020July 6, 2022

[工具] Shell 取消所有已设置的复杂端口策略（firewalld 版）

介绍

基本信息

作者：朱明宇
名称：取消所有已设置的复杂端口策略
作用：取消所有已设置的复杂端口策略

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本

#!/bin/bash

systemctl start firewalld
systemctl enable firewalld

max=`firewall-cmd --list-all | grep "rule family" | wc -l`

for i in `seq 1 $max`
do
        echo $i
        lines=`firewall-cmd --list-all | grep "rule family" | sed -n $[i]p`
        ipvs=`echo $lines | awk -F'"' '{print $2}'`
        ips=`echo $lines | awk -F'"' '{print $4}'`
        ports=`echo $lines | awk -F'"' '{print $6}'`
        tus=`echo $lines | awk -F'"' '{print $8}'`
        acts=`echo $lines | awk -F'"' '{print $9}'`

        echo $ipvs $ips $ports $tus $acts
        firewall-cmd --remove-rich-rule="rule family="$ipvs" source address="$ips" port protocol="$tus" port="$ports" $acts" --permanent
done

firewall-cmd --add-service=ssh --permanent
firewall-cmd --reload