Category: System Port Security (系统端口安全)

Posted on

[内容] Linux SELinux 布尔 (boolean) 值的设置

内容一:开启 SELinux 布尔(boolean)值

1.1 显示当前 SELinux 状态

# getenforce

1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔(boolean)值

1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔(boolean)值的方法
1.2.1.1 修改 SELinux 配置文件
# vim /etc/selinux/config

将以下内容:

......
SELINUX=disabled
......

修改为:

......
SELINUX=enforcing
......
1.2.1.2 重启系统
# reboot
1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔(boolean)值的方法
# setenfoce 1

(补充:系统重启后失效)

内容二:显示所有 SELinux 布尔(boolean)值

# semanage boolean -l

内容三:布尔(boolean)值的管理

3.1 允许某一个 SELinux 布尔(boolean)值开启

3.1.1 临时允许某一个 SELinux 布尔(boolean)值开启
3.1.1.1 临时允许某一个 SELinux 布尔(boolean)值开启的格式
# setsebool <boolean value> 1

或者:

# setsebool <boolean value> on
3.1.1.2 临时允许某一个 SELinux 布尔(boolean)值开启的案例
# setsebool httpd_can_network_connect 1

或者:

# setsebool httpd_can_network_connect on
3.1.2 永久允许某一个 SELinux 布尔(boolean)值开启
3.1.2.1 永久允许某一个 SELinux 布尔(boolean)值开启的格式
# setsebool -P <boolean value> 1

或者:

# setsebool -P <boolean value> on
3.1.2.2 永久允许某一个 SELinux 布尔(boolean)值开启的案例
# setsebool -P httpd_can_network_connect 1

或者:

# setsebool -P httpd_can_network_connect on

3.2 取消某一个 SELinux 布尔(boolean)值开启

3.2.1 临时取消某一个 SELinux 布尔(boolean)值开启
3.2.1.1 临时取消某一个 SELinux 布尔(boolean)值开启的格式
# setsebool <boolean value> 0

或者:

# setsebool <boolean value> off
3.2.1.2 临时取消某一个 SELinux 布尔(boolean)值开启的案例
# setsebool httpd_can_network_connect 0

或者:

# setsebool httpd_can_network_connect off
3.2.2 永久取消某一个 SELinux 布尔(boolean)值关闭
3.2.2.1 永久取消某一个 SELinux 布尔(boolean)值开启的格式
# setsebool -P <boolean value> 0

或者:

# setsebool -P <boolean value> off
3.2.2.2 永久取消某一个 SELinux 布尔(boolean)值开启的案例
# setsebool -P httpd_can_network_connect 0

或者:

# setsebool -P httpd_can_network_connect off

Posted on

[工具] Shell 取消所有已开放的端口策略 (firewalld 版)

介绍

基本信息

作者:朱明宇
名称:取消所有已开放的端口策略
作用:取消所有已开放的端口策略

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本

#!/bin/bash

systemctl start firewalld
systemctl enable firewalld

for i in `firewall-cmd --list-all | grep ports | egrep [0-9] | awk -F':' '{print $2}'`
do
        pports=`echo $i | awk -F'/' '{print $1}'`
        ptus=`echo $i | awk -F'/' '{print $2}'`

        firewall-cmd --remove-port=$pports/$ptus --permanent

done

firewall-cmd --add-service=ssh --permanent
firewall-cmd --reload
Posted on

[工具] Shell 取消所有已设置的复杂端口策略 (firewalld 版)

介绍

基本信息

作者:朱明宇
名称:取消所有已设置的复杂端口策略
作用:取消所有已设置的复杂端口策略

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本

#!/bin/bash

systemctl start firewalld
systemctl enable firewalld

max=`firewall-cmd --list-all | grep "rule family" | wc -l`

for i in `seq 1 $max`
do
        echo $i
        lines=`firewall-cmd --list-all | grep "rule family" | sed -n $[i]p`
        ipvs=`echo $lines | awk -F'"' '{print $2}'`
        ips=`echo $lines | awk -F'"' '{print $4}'`
        ports=`echo $lines | awk -F'"' '{print $6}'`
        tus=`echo $lines | awk -F'"' '{print $8}'`
        acts=`echo $lines | awk -F'"' '{print $9}'`

        echo $ipvs $ips $ports $tus $acts
        firewall-cmd --remove-rich-rule="rule family="$ipvs" source address="$ips" port protocol="$tus" port="$ports" $acts" --permanent
done

firewall-cmd --add-service=ssh --permanent
firewall-cmd --reload
Posted on

[工具] Shell 开放所有正处于监听状态的端口策略 (firewalld 版)

介绍

基本信息

作者:朱明宇
名称:开放所有正处于监听状态的端口策略
作用:开放所有正处于监听状态的端口策略

使用方法

1. 给此脚本添加执行权限
2. 执行此脚本

脚本

#!/bin/bash

systemctl start firewalld
systemctl enable firewalld

for k in `ss -ntulap |grep 0.0.0.0 | grep LISTEN | awk '{print $5}' | awk -F':' '{print $2}'`
do 
        firewall-cmd --add-port=$k/tcp --permanent
done

firewall-cmd --reload