selinux
1.selinux
内核级加强型防火墙
1.针对文件,会对系统中每个文件添加安全上下文(context)
2.针对进程,会对系统中的每个进程添加全上下文(context)
3.会在系统服务上设定sebool开关
4.当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
5.sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
2.管理selinux
selinux的开关
vim /etc/sysconfig/selinux
SELINUX=enforcing ##selinux开启,级别为强制
SELINUX=permissive ##selinux开启,级别为警告
SELINUX=disabled ##selinux关闭
setenforce 0|1 ##更改selinux当前的级别0警告1标示强制
getenforce ##查看selinux的状态
注意:当selinux从关到开,或者从开到关,需要重启系统,而从警告状态到强制状态或强制状态到警告状态不需要重启
selinux的影响
selinux中对文件安全上下文的设定
实验环境:
selinux状态为enforcing,配置好ftp服务
在/mnt下建立一个文件,将它移动到ftp的发布目录下
Lftp登录查看
在/var/ftp/pub目录下建立一个文件
为什么一个可以看到一个不可以看到呢
Ls -Z 查看文件标签
因为他们的安全上下文不同
临时更改适用于更改文件
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/file
临时更改目录安全上下文
chcon -t public_content_t /westos -R
首先将匿名用户的发布目录改为/westos
在/westos 目录下建立文件并登录lftp查看
更改目录安全上下文
chcon -t public_content_t /westos -R
4.修改selinux状态,重启再打开selinux,再重启
5.查看/westos及其文件的安全上下文
又恢复原样,那么如何永久更改呢
永久更改文件安全上下文
semanage fcontext -l
semanage fcontext -a -t public_content_t ‘/westos(/.*)?’
restorecon -RvvF /westos
管理本地用户文件传输----bool开关
selinux的bool值的设定
sebool值是控制服务功能开关
getsebool | grep 服务名称
setsebool -P bool值 on |off
本地用户上传文件
因为我的版本是7.3,所以本地用户可以直接上传
匿名用户上传文件
1.修改本地文件系统的权限
chmod 775 /var/ftp/pub
chgrp ftp /var/ftp/pub
之前做过的修改发布目录,记得改回成默认的
修改配置文件
vim /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES
systemctl restart vsftpd
修改安全上下文
semanage fcontext -a -t public_content_rw_t /var/ftp/pub
restorecon -RvvF /westos
网络桥接和链路聚合
一:配置网络桥接
在网络的使用中,有时需要搭建网络桥来实现网络桥接。例如一台主机上由一台虚拟机,虚拟机是没有物理网卡,它的网卡是虚拟化的,不能直接上网,这时虚拟机数据的发送和接收就需要通过主机上的物理网卡,需要主机的内核来处理这些问题,这无疑增加了主机内核的负担,因为主机上网也是通过内核来调用网卡,这也延长了虚拟机的反应速度,如果搭建网络桥,在真机的内核上面开启一个网络接口,使得虚拟机的内核与真机的物联网卡连接在一起,让虚拟机可以在一定程度上使用主机的物理网卡,进行可以与外界进行通信,桥接也可以使虚拟化的网络更加的快。
搭建网络桥可以通过编辑配置文件和命令管理来实现。
模拟无网桥环境
ifcfg-bro 桥接配置文件
ifcfg-enp4s0f1 网卡配置文件
将这两个文件移到/opt下
在图形界面删除桥接和网卡
删除后重启电脑
1)编辑配置文件来配置网卡和桥接
vim Ifcfg-enp4s0f1
DEVICE=enp4s0f1
ONBOOT=yes
BOOTPROTO=none
BRIDGE=br0
vim ifcfg-br0
DEVICE=br0
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.25.254.70
NETMASK=255.255.255.0
TYPE=Bridge
用brctl命令设置桥接(临时的)
brctl show 显示
brctl addbr 添加网桥
brctl delbr 删除网桥
brctl addif 添加网桥连接(和网卡)
brctl delif 删除网桥连接(与网卡)
在虚拟机里做,在实验前将原eth0里 的ONBOOT改为no,再重启网络服务
添加一个网桥,并设置ip
ping不通真机网络
因为网卡上没有接口,添加一个接口
brctl addif br0 eth0
删除网桥接口
brctl delif br0 eth0
删除网桥
brctl delbr br0
直接删除不能删除,让它停止然后删除
链路聚合
1.bond链路聚合
(1)bond网络:Red Hat Enterprise Linux 允许管理员使用bonding内核模块和称为通道绑定的特殊网络接口将多个网络接口绑定到一个通道。根据选择的绑定模式,通道绑定使两个或更多个
(2)bond是将多块网卡虚拟链接成一块网卡的技术,通过bond技术让多块网卡看起来是一个单独的以太网接口设备并具有相同的ip地址。
(3) 在linux下配置bond,通过网卡绑定技术既能增加服务器的可靠性,又增加了可用网络宽带,为用户提供不间断的网络服务,实现主备功能。
(4)bond默认情况下支持两块网卡工作。
bond的方式:
<1>模式0(伦循策略mode=0/balance-rr),所有接口都使用采用轮循方式在所有Slave中传输封包;任何Slave都可以接收,加大工作效率。
<2>模式1(主动备份mode=1/active-backup)-容错。一次只能使用一个Slave接口,但是如果该接口出现故障,另一个Slave将接替它
<3>模式3(广播mode=6/balance-alb)-容错。所有封包都通过所有Slave接口广播
bond的主备模式(保证网络不会中断)
将原来的网卡删掉,先将NetworkManager开启
systemctl start NetworkManager
nmcli connetcion show
nmcli connetcion delete name
添加两块网卡
ifconfig查看
第二步:创建链路聚合
team的链路聚合
1)在实验前将bond的网卡删掉
开启新的shell做一个监控
watch -n 1 teamdctl team0 stat
创建team链路聚合
nmcli connection add con-name team0 type team ifname team0 config ‘{“runner”:{“name”:”activebackup”}}’ ip4 172.25.254.213/24
在链路聚合上添加网卡
给链路聚合添加网卡eth0
nmcli connection add con-name eth0 ifname eth0 type team-slave master team0
测试
将eth0关闭,测试
依然可以ping通,是eth1在工作