2分钟训练
以下是第15章中的考点
使用 tcp_wrappers 提供安全服务
RHEL 提供包 tcp_wrappers,这个包默认是启用的,你可以通过它限制对一些服务的访问。
你可以利用 /etc/hosts.allow 和 /etc/hosts.deny 两个文件为 tcp_wrappers 设置访问规则。
/etc/hosts.allow 中的客户端是被允许的;在 /etc/hosts.deny 中的客户端会被禁止。
在 /etc/hosts.allow 和 /etc/hosts.deny 也可以定义服务,名称是后台进程的名字,例如在 /usr/sbin 下的,如:in.tftpd。
防火墙和包过滤
防火墙可以通过控制网络中包的流入、流出和转发来保障网络信息的安全。
目前防火墙配置命令为 iptables
iptables的指令是一套连接起来的规则,它们比较并应用于每个数据包。
每条规则都需要设定匹配条件,以及当包匹配是所要采取的动作。
使用 service iptables save 命令可以将你修改的规则保存到配置文件 /etc/sysconfig/iptables 中。
网络地址转换
NAT 修改局域网中流出的数据包报头,将源地址替换为防火墙的共有地址,并随机分配端口号。
Linux 支持 IP 伪装的 NAT技术。
IP 伪装技术允许你利用一个共有地址为多台计算机提供因特网服务。
要是 IP 包转发立即生效,输入 echo 1 > /proc/sys/net/ipv4/ip_forward 命令。要使其在重启后有效,在配置文件 /etc/sysctl.conf 中设置 net.ipv4.ip_forward
SELinux
SELinux 提供了多层次的安全保护,基本设置见 /etc/sysconfig/selinux 文件。
如果你只是进行 SELinux实验,将其配置为 permissive 模式。
使用 SELinux管理器你可以轻松配置 SELinux。
你利用 SELinux管理器所作的任何更改都对应于 /selinux/booleans/ 目录下的相应布尔值。
Setroubleshoot 可以帮助你查找相关的错误,并提出建议。
阅读(883) | 评论(0) | 转发(0) |
