centos查看策略?centos安装软件命令
大家好,今天来为大家解答centos查看策略这个问题的一些问题点,包括centos安装软件命令也一样很多人还不知道,因此呢,今天就来为大家分析分析,现在让我们一起来看看吧!如果解决了您的问题,还望您关注下本站哦,谢谢~
如何在 Linux 上设置密码策略
1.准备安装一个PAM模块来启用cracklib支持,这可以提供额外的密码检查功能。在Debin,Ubuntu或者Linux Mint使用命令:sudo apt-get install libpam-cracklib
这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。
如要强制执行密码策略,我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。
请注意,本教程中的密码规则只有在非root用户更改密码时强制执行。
2.避免重复使用旧密码寻找同时包含“password”和"pam_unix.so"的行,然后再这行后面加上“remember=5”。这将防止5个最近使用过的密码被用来设置为新密码(通过将它们存放在/etc/security/opasswd文件中)。在Debin,Ubuntu或者Linux Mint使用命令:sudo vi/etc/pam.d/common-password
修改内容:password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5
在Fedora,CentOS或RHEL使用命令:sudo vi/etc/pam.d/system-auth
修改内容:password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
3.设置最小密码长度寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位,其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型(大写、小写、数字和符号)。所以如果使用所有四种类型的组合,并指定最小长度为10,所允许的简单密码部分将是6位。在Debin,Ubuntu或者Linux Mint使用命令:sudo vi/etc/pam.d/common-password
修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3
在Fedora,CentOS或RHEL使用命令:sudo vi/etc/pam.d/system-auth
修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10
4.设置密码复杂度寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。在Debin,Ubuntu或者Linux Mint使用命令:sudo vi/etc/pam.d/common-password
修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
在Fedora,CentOS或RHEL使用命令:sudo vi/etc/pam.d/system-auth
修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
5.设置密码的有效期要设置当前密码的最大有效期,就修改/etc/login.defs文件的下列变量:sudo vi/etc/login.def
修改内容:PASS_MAX_DAYS 150
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
这将迫使每一位用户每半年更改一次他们的密码,并且在密码过期之前七天发送密码过期还有几天到等等的警告信息给用户(到最后甚至在用户开机登录时强制用户更改密码,不然无法进入系统(个人在linux程序设计中看到的知识,非原作者观点))。如果你想基于不同的用户使用密码期限功能,那就使用chage命令。要查看针对特别用户的密码过期策略使用的命令如下:sudo chage-l xmodulo
注意:xmodule是原作者在linux系统中使用的用户名。显示如下:Last password change: Dec 30, 2013
Password expires: never
Password inactive: never
Account expires: never
Minimum number of days between password change: 0
Maximum number of days between password change: 99999
Number of days of warning before password expires: 7
默认设置中,用户的密码是不会过期的。为用户的xmodulo更改有限期限的命令如下:$ sudo chage-E 6/30/2014-m 5-M 90-I 30-W 14 xmodulo
以上命令将密码设置为在2014年6月30日过期。并且,密码更改时间间隔的最大/最小数量分别为5和90。在一个密码过期后,这个账号将被锁30天。在密码过期前14天,警告信息就会发送到对应的账户。
CentOS上的安全防护软件Selinux详解
selinux简介
SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上,也可以作为其他发行版上容易安装的包得到,2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中
DAC:Discretionary Access Control自由访问控制
MAC:Mandatory Access Control强制访问控制
DAC环境下进程是无束缚的
MAC环境下策略的规则决定控制的严格程度
MAC环境下进程可以被限制的
策略被用来定义被限制的进程能够使用那些资源(文件和端口)
默认情况下,没有被明确允许的行为将被拒绝
selinux的工作类型
selinux一共有四种工作类型
strict:每个进程都受到selinux的控制
targeted:用来保护常见的网络服务,仅有限进程受到selinux控制,系统当中默认设置类型
minimum:这个模式在centos7上,是targeted的修改版,只对选择的网络服务,仅对选中的进程生效
mls:提供mls机制的安全性,国防级别的
selinux安全上下文
传统的linux,一切皆文件,由用户、组、权限来进行访问控制,这当中有很多的缺陷
在selinux中,一切皆对象(进程),有存放在inode的扩展属性域的安全元素所控制其访问
所有文件和端口资源和进程都具备安全标签,这就是安全上下文
安全上下文有五个元素组成
system_u:object_r:admin_home_t:s0
user:role:type:sensitivity:category
user:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由进程
role:定义文件,进程和用户的用途,文件:object_r,进程和用户:system_r
type:指定数据类型,规则重定义何种进程类型访问何种文件,target策略基于type实现,多服务功用,public_content_t
sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,一个对象有且只有一个sensitivity,分0-15个级别,s0最低,target策略默认使用是s0
category:对于特定组织划分不分层的分类,如FBI secret,NSA secret,一个对象可以有多个category,c0-c1023共1024个分类,target策略不适用category
查看安全上下文
ls Z; ps-Z
期望(默认)上下文:存放在二进制的selinux策略库中
semanage fcontext l查看系统中的默认安全上下文
@font-face{
font-family:宋体;
}@font-face{
font-family: Cambria Math;
}@font-face{
font-family: Calibri;
}@font-face{
font-family:@宋体;
}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}
selinux策略
对象(object):所有可以读取的对象,包括文件、目录和进程,端口等
主体:进程称为主题(subject)
selinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义
当一个subject视图访问一个object,kernel中的粗略执行服务器将检查AVC,在AVC中,subject和object的权限被缓存,查找应用+文件的安全环境,然后根据查询结果允许或拒绝访问
安全策略:定义主体读取对象的规则数据库,规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的,并且定义了那种行为是允许或拒绝
设置selinux
配置selinux
selinux是否启用
给文件重新打安全标签
给端口设置安全标签
设定某些操作的布尔型开关
selinux的日志管理
selinux的状态
enforcing:强制,每个受限的进程都必然受限
permissive:允许;每个受限的进程违规操作不会被禁止,但会被记录与审计日志
disabled:禁用,允许任何操作
getenforce:获取selinux当前状态
sestatus:查看selinux状态
setenforce 0|1
0:设置为permissive
1:设置为enforcing
配置文件
/etc/sysconfig/selinux链接文件链接到/etc/selinux/config
/etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing SELinux security policy is enforced.
# permissive SELinux prints warnings instead of enforcing.
# disabled SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted Only targeted network daemons are protected.
# strict Full SELinux protection.
SELINUXTYPE=targeted
SELINUX=enforcing设置selinux的状态
SELINUXTYPE=targeted设置selinux的工作类型
设置selinux也可以在开机的时候设定,在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用,最后selinux的状态为禁用
注意:在从disabled状态切换至enforcing或permissive状态需要重启系统,这时候系统会对每一个文件一一重打标签,需要花费一定的时间。
修改selinux的安全标签
给文件重新打安全标签
chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..
chcon [OPTION] reference=RFILE FILE..
-R:递归打标,对目录而言
例如我想给自己定义的web文档根目录自定义为/htdocs
chcon-R httpd_sys_content_t/htdocs
恢复目录或文件默认的安全上下文
resotrecon [-R]/path/to/somewhere
例如:我又将web的文档根目录改为原来的目录,这时候自定义的目录的标签需要还原
restorecon-R/htdocs
恢复是根据策略库当中的策略进行还原
默认安全上下文查询与修改
semanage来自policycoreutils-python包,有些系统默认没有安装,安装次包即可使用semanage命令
查看默认的安全上下文
semanage fcontext l
添加安全上下文
semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?
restorecon Rv/home/hadoop此步骤一定不能忘记,它从策略库进行还原安全上下文,执行此命令才会生效
删除安全上下文
semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?
selinux端口标签
查看端口标签
semanage port-l
添加端口
semanage port-a-t port_label p tcp|udp port
semanage port a-t htt_port_t-p tcp 8080
删除端口
semanage port-d-t port_label-p tcp|udp port
semanage port-d-t htt_port_t-p tcp 8080
修改现有(已存在)端口为新标签
semanage port-m t port_label p tcp|udp port
semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080
selinux布尔值
查看布尔值命令
getsebool [-a] [boolean]
semanage boolean l-C查看修改过的布尔值
设置bool值命令
setsebool [-P] boolean value(on|off|1|0)
setsebool httpd_enable_homedirs on|1开启httpd家目录访问,但不会写入策略库中
setsebool-P httpd_enable_homedirs on|1
修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法
setsebool httpd_enable_homedirs=on
selinux的日志管理
需要安装settroublesshoot*安装此包需要重启系统才能生效,它会将错误日志记录到/var/log/message
grep setroubleshoot/var/log/message
sealer-l UUID
查看安全事件日志说明
sealert-a/var/log/audit/audit.log
扫描并分析日志
yum-y install selinux-policy-devel(centos7)
yum y install selinux-policy-doc(centos6)
mandb| makewhatis需要更新man帮助的数据才能查询
man-k _selinux
例如man httpd_selinux
总结:selinux在安全防护上确实起到了一定的作用,它是在内核层面来工作,往往有许多的漏洞,一旦黑客利用漏洞入侵系统后果不堪设想,还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux,一般都会使用硬件的安全防护设备,所以我们只需要作为了解,知道有这么个东西,如何开关闭及一些简单的操作即可。
如何查看防火墙策略
问题一:怎么看自己电脑防火墙的设置以及访问规则打开控制面板>防火墙里面有个例外看下又耽有你街头篮球的程序。有就把那个方框打钩。没有自己加个。还是不行你试下重装你的系统。
问题二:linux如何查看防火墙是否开启 chkconfig命令只是查看和设置服务的自动启动情况,并不能反映当前服务的状态.
service iptables status可以查看到iptables服务的当前状态
但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置
iptables-L
上述命令的返回值如果显示没有防火墙规则,那就是不起作用;反之就是防火墙在起作用.
问题三:怎样检查防火墙设置是否正确?你把你的防火墙关了一下再看看能行不?
还是不行,你就启动安全模式,再看看你的软件能打开不,要是不能,那就重装吧~
呵呵
问题四:怎样检查网络设置或防火墙设置是否正确首先点击左下方的开始按钮,找到控制面板,并点击进入界面
在打开的界面中找到Windows防火墙
点击Windows防火墙,进入界面
在界面中找到打开或关闭Windows防火墙,并点击打开进入到设置界面即可。
问题五:防火墙配置策略 pix515防火墙配置策略实例
#转换特权用户
pixfirewall>ena
pixfirewall#
#进入全局配置模式
pixfirewall# conf t
#激活内外端口
interface ethernet0 auto
interface ethernet1 auto
#下面两句配置内外端口的安全级别
nameif ethernet0 outside security0
nameif ethernet1 inside security100
#配置防火墙的用户信息
enable password pix515
hostname pix515
domain-name domain
#下面几句配置内外网卡的IP地址
ip address inside 192.168.4.1 255.255.255.0
ip address outside公网IP公网IP子网掩码
global(outside) 1 interface
nat(inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网IP的ssh和服务到192.168.4.2
static(inside,outside) tcp公网IP 192.168.4.2 netmask 255.255.255.255 0 0
static(inside,outside) tcp公网IP ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0
#下面两句将定义外部允许访问内部主机的服务
conduit permit tcp host公网IP eq any
conduit permit tcp host公网IP eq ssh信任IP 255.255.255.255
#允许内部服务器telnet pix
telnet 192.168.4.2 255.255.255.0 inside
#下面这句允许ping
conduit permit icmp any any
#下面这句路由网关
route outside 0.0.0.0 0.0.0.0公网IP网关 1
#保存配置
write memory
问题六:如何查看数据流是匹配哪条策略通过防火墙的返回的信息室这样的,不是像每条策略后面有个括号类似(2 times matched)
那样
HRP_Mdis acl 3001
Advanced ACL 3001, 1 rule,not binding with vpn-instance
untrust-to-trust
Acl's step is 5
rule 1000 permit ip
问题七:linux怎么查看防火墙是否开启查看防火墙状态:
[[email protected]~]# service iptables status
iptables:未运行防火墙。
开启防火墙:
[[email protected]~]# service iptables start
关闭防火墙:
[[email protected]~]# service iptables stop
问题八:Linux防火墙的linux如何查看防火墙是否开启一、基本查看命令
chkconfig命令只是查看和设置服务的自动启动情况,并不能反映当前服务的状态.
二、服务查看方式
service iptables status可以查看到iptables服务的当前状态
但是即使服务运行了,防火墙也不一定起作用,你还得看防火墙规则的设置
iptables-L
上述命令的返回值如果显示没有防火墙规则,那就是不起作用;反之就是防火墙在起作用.
三、查看服务状态
iptables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
四、Linux运行级别
linux有六个运行级别,0(关机),1单用户,2多用户(无NFS),3完全多用户, 4(未使用),5图形界面X11,6重启,
五、不同操作系统服务配置文件路径
CENTOS/redhat,service iptables status
debian,/etc/init.d/iptables
问题九:如何查看linux防火墙是否开启 ps aux|grep iptable
ps aux|grep firewalld
CentOS7之前的版本用iptables,CentOS 7用firewalld
有两行显示就是开了
问题十:怎么关闭防火墙win7安全策略首先,点击开始菜单,再点击“控制面板”,
在控制面板中找到“Windows防火墙”,
然后在防火墙设置中,点击左侧的“打开或关闭 Windows防火墙”,
接下来,在专用网络设置和公用网络设置里,分别把防火墙关闭,最后点击“确定”,
