centos漏洞扫描，centos7重新扫描磁盘

Centos防火墙限制配合白名单策略的实战

在信息系统的实际部署中，常遇到内部服务端口被漏洞扫描工具发现漏洞，却因多种原因无法升级解决的情况。如果通过操作系统防火墙限制这些端口，可能影响内部多台服务器之间的正常互访，同时若完全开放也可能导致相关漏洞对外暴露。针对此难题，本实战将介绍一种使用防火墙限制服务端口并结合白名单策略的方法来实现安全与互访的平衡。

本实战以三台服务器为例，目标是在确保所有服务器内部能互相访问的基础上，对外只能访问特定端口（如8081端口），以实现漏洞封堵的同时，保证内部系统的正常运行。

首先，确保每台服务器的防火墙已启动并正常工作。

接下来，针对每台服务器执行以下步骤以开放白名单端口和特定服务端口。

1.主机1（IP:192.168.18.10）：配置防火墙策略以开放内部服务端口给白名单内的服务器，并开放8081端口供外部访问。如有其他对外开放端口需求，可在此基础上进行添加。同时，确保keepalived（若有使用）的端口也被正确配置。最后，使用重新加载命令生效。

2.主机2（IP:192.168.18.11）：与主机1类似，配置防火墙策略以满足内部互访需求，并开放8081端口供外部访问。保持与主机1一致的keepalived端口配置，并执行重新加载命令以确保策略生效。

3.主机3（IP:192.168.18.12）：执行与前两台服务器相同的步骤，以实现内部互访与8081端口对外访问的策略配置。

通过以上步骤，实现所有服务器内部的全互访，外部访问仅限8081端口，有效解决了封堵服务漏洞的同时，保障了内部系统的正常运行。

此外，对于Linux操作系统、数据库集群部署、系统高可用方案、商用密码密评密改方案等相关技术咨询问题，欢迎进行深入交流与探讨。完成上述操作后，即可在保证内部互访畅通的同时，对外只开放必要的服务端口，实现安全与效率的双重保障。

附录：常用Linux防火墙相关命令

开放某端口策略

去除某端口开放策略

查看已开放策略

管理防火墙服务

查看防火墙状态

暂时关闭防火墙（重启可能失效）

永久关闭防火墙

永久开启防火墙

重启防火墙

永久关闭SELinux（如有使用）

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。

nessus使用教程最强的漏洞扫描工具Nessus安装教程

什么是Nessus？

Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus作为扫描该机构电脑系统的软件

步骤如下：查看当前kali系统内核版本，使用uname–a命令看是属于debian的系统。

在Nessus官网下载对应的版本，官方中有详细介绍对应的版本信息，linux、centos、ubuntu也如此。

下载后上传至kali中，使用dpkg-i命令进行安装

安装结束后开启nessus.d服务，根据Nessus的安装提示可以使用“systemctl start nessusd.service”命令开启服务，然后通过进行访问。

选择第一个然后Continue，这时需要补充个人信息并且向Nessus官方提交许可申请，稍后会向邮箱发送激活码

输入激活码后就可以正常使用了

在安装插件时提示了下载失败，只能通过更新的方式进行了

访问地址进行离线授权

访问地址进行离线授权

这时需要写的信息一个是刚刚的challenge码和邮箱收到的授权码，然后提交

如果提示以下信息，需要更换邮箱重新进行授权

获得新的授权后再次将获得challenge码和授权码提交，提交后按照提示获得以下信息

将上述链接中的插件下载上传至kali后解压安装

或者采用另一个方式，将页面中的nessus.license文件下载后上传nessus/sbin目录下，执行“/opt/nessus/sbin/nessuscli fetch--register-offline nessus.license”后可以看到注册成功的信息

然后刷新界面就可以看到正常的界面了

输入之前新建好的用户名、密码就可以登录了