Linux一個服務被訪問的過程
在Linux中一個服務被訪問的過程!!!!
iptables/firewall/ebtables→Tcp wrappers →服務本身策略→SELinux→最終才能被訪問
第一步----防火牆 netfilter模組(網路過濾器)
管理這個模組有三個工具就是 iptables/ebtables/firewall
iptables
###如果不進行配置,預設是允許所有,但是在iptables列表中預設的是有拒絕所有的策略,所有需要先清空一下列表
firewall
###根據zone的不同,預設不同,block,drop無論如何都是拒絕的,public打鉤允許,不打鉤拒絕,trusted無論如何都是允許的
ebtables
這三個工具是衝突的,所以只能使用一個,Linux6上推選使用iptables,Linux7上推選使用firewall
systemctl stop iptables/ebtables/firewall 關閉
systemctl disable iptables/ebtables/firewall 下次開啟不啟動
systemctl mask iptables/ebtables/firewall 鎖住
###停止並鎖定服務,以免發生衝突
第二步經歷tcp wrappres
概念:
Tcp wrappers : Transmission Control Protocol (傳輸控制協議) Wrappers 為由 Xinetd 生成的服務提供了增強的安全性。
TCP Wrappers 是一種對使用 /etc/inetd.sec 的替換方法。TCP Wrappers 提供防止主機名和主機地址欺騙的保護。
欺騙是一種偽裝成有效使用者或主機以獲得對系統進行未經授權的訪問的方法。
用處:
TCP Wrappers 使用訪問控制列表 (ACL) 來防止欺騙。ACL 包括 /etc/hosts.allow 和 /etc/hosts.deny 檔案中的系統列表。
在配置為驗證主機名到 IP 地址對映,以及拒絕使用 IP 源路由的軟體包時,TCP Wrappers 提供某些防止 IP 欺騙的保護。
###########################################################################################################
小結:Tcp_Wrappers是一個用來分析TCP/IP封包的軟體,類似的IP封包軟體還有iptables。Linux預設都安裝了Tcp_Wrappers。
作為一個安全的系統,Linux本身有兩層安全防火牆,通過IP過濾機制的iptables實現第一層防護。
iptables防火牆通過直觀地監視系統的執行狀況,阻擋網路中的一些惡意攻擊,保護整個系統正常執行,免遭攻擊和破壞。
如果通過了第一層防護,那麼下一層防護就是tcp_wrappers了。
通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止,從而更有效地保證系統安全執行,檔案系統安全.
#########################################################################################################################
第三步 服務本身策略
第四步 selinux
#概念和歷史
SELinux:Security Enhanced Linux,美國國家安全域性(NSA)設計出了 SELinux,一種強制的訪問控制方法,SELinux的主要目標是防止已遭遇洩露的系統服務訪問使用者資料
大多數Linux管理員都熟悉標準的使用者/組/其他許可權安全模型。
這種基於使用者和組的模型稱為自由決定的訪問控制。SELinux提供另一層安全,他基於物件並由更加複雜的規則控制,稱為強制訪問控制。
#selinux作用:
SELinux是用於確定那個程式可以訪問那些檔案、目錄和埠的一組安全規則。
每個檔案、程式和埠都具有特別的安全標籤,稱為SELinux上下文。
上下文是一個名稱,SELinux策略使用它來確定某個程式能否訪問文、目錄或埠。
除非顯式規則授予訪問許可權,否則,在預設情況下,策略不允許任何互動。如果沒有允許規則,則不允許訪問
#selinux有三種模式
模式:
enforcing:強制模式,SELinux 基於其策略規則來拒絕訪問,這些規則是用以 控制安全引擎的一系列準則
permissive:警告模式,SELinux 不會拒絕訪問,但對於那些如果執行在強制模 式下會被拒絕訪問的行為進行記錄
disabled:關閉模式,SELinux沒有執行
配置檔案:
/etc/sysconfig/selinux /etc/selinux/config
#應用
1)context selinux安全上下文
2)selinux bool值(布林值)
第五步最終訪問服務
相關文章
- Linux的引導過程與服務控制Linux
- 服務登出後也能自啟的改造過程-(Linux服務)Linux
- 外網如何透過https訪問自己的服務HTTP
- 一次Linux系統被***的分析過程Linux
- docker內服務訪問宿主機服務Docker
- 一個儲存過程的問題!儲存過程
- log4js快速寫一個Node服務訪問日誌JS
- 網站訪問過程&HTML網站HTML
- nodejs訪問WCF服務NodeJS
- 使用 grpcurl 通過命令列訪問 gRPC 服務RPC命令列
- 記一次Linux系統被入侵的排查過程(一)Linux
- 一臺主機,兩個WEB應用服務之間的連結訪問的問題Web
- 記一次程式訪問無法訪問虛擬機器部署的服務虛擬機
- Dubbo中暴露服務的過程解析
- 寶塔 ftp訪問不了的問題 filezilla訪問不了Purefpt服務FTP
- 一次Linux系統被攻擊的分析過程Linux
- 一次Linux伺服器被hack的過程分析Linux伺服器
- 講一個linux服務啟動報錯問題排查Linux
- 記憶體訪問全過程記憶體
- Linux核心建立一個程式的過程分析Linux
- 如何使用RestTemplate訪問restful服務REST
- 阿里面試:dubbo的服務引用過程阿里面試
- Flex釋出到Tomcat服務的過程FlexTomcat
- 一個lua問題解決過程
- 引導過程與服務控制
- svn透過https協議訪問的搭建過程HTTP協議
- 通過express快速搭建一個node服務Express
- NAS教程丨如何透過DDNS實現SMB服務的遠端訪問?DNS
- 一款開箱即用的代理伺服器,解決 SAP UI5 開發過程中訪問遠端 OData 服務的跨域問題伺服器UI跨域
- 記一次透過K8S ingress訪問業務服務出現404問題K8S
- linux上mount一個lv的處理過程Linux
- 服務端指南 | 基於角色的訪問控制服務端
- 記一次線上服務CPU 100%的處理過程
- fastHttp服務端處理請求的過程ASTHTTP服務端
- Kitty-Cloud服務搭建過程剖析Cloud
- React 服務端渲染原理及過程React服務端
- Dubbo服務呼叫過程原始碼解析④原始碼
- 訪問被拒絕。 說明: 訪問服務此請求所需的資源時出錯。伺服器可能未配置為訪問所請求的 URL。...伺服器