- 1. Pagrindinės „Firewalld CentOS 7“ sąvokos
- 2. Kaip sukurti nuolatinę „CentOS 7“ taisyklę
- 3. Kaip paleisti ugniasienės paslaugą „CentOS 7“
- 4. Kaip pamatyti dabartinę „CentOS 7“ zoną
- 5. Kaip ištirti skirtingas „CentOS 7“ zonas
- 6. Kaip pasirinkti zonas tinklo sąsajoms „CentOS 7“
- 7. Kaip pakoreguoti „CentOS 7“ programų taisykles
- 8. Kaip atidaryti konkrečios zonos prievadą „CentOS 7“
- 9. Kaip sukurti savo zoną „CentOS 7“ užkardoje
- 10. Kaip įjungti ugniasienę, kad ji būtų automatiškai paleista prisijungiant prie „CentOS7“
- 11. Kaip sustabdyti ir išjungti ugniasienę „CentOS 7“
- 12. Kaip užblokuoti ugniasienę „Linux CentOS“ ir „Ubuntu“
- 13. Kaip išjungti ugniasienę „Linux CentOS Ubuntu“
- 14. Kaip įdiegti ir konfigūruoti CSF ugniasienę „CentOS 7 Linux“
Viena iš priemonių, įtrauktų į operacines sistemas, siekiant padidinti saugumo lygį ir sukurti įeinančių ir išeinančių sistemos jungčių kontrolę. Ugniasienė yra esminė mūsų įrangos saugumo dalis, neatsižvelgiant į sistemą, nes būtent globėjas neleidžia netinkamam turiniui sugadinti mūsų įrangos. Laimei, tokiose sistemose kaip „Linux“ ugniasienė jau yra integruota pagal numatytuosius nustatymus ir siūlo daugybę galimybių susidoroti su šiomis situacijomis. Konkrečiai „CentOS“ integruota užkarda vadinama užkarda ir atlieka skirtingas saugumo užduotis mūsų „Linux“ platinimo sistemoje.
Labai svarbu žinoti viską, ką ugniasienė mums siūlo apsaugos lygiu, ir svarbu žinoti, kad sistemoje „CentOS 7“ ugniasienės lygmeniu įtrauktas sprendimas vadinamas „Firewalld“, kuris mums suteikia šiuos privalumus.
Ugniasienės privalumai„CentOS 7“ užkardos pranašumai yra šie:
- Tai dinamiška užkarda.
- Stabilus.
- Kelios konfigūracijos parinktys.
- Palaiko „Ipv4“, „Ipv6“ ir „Ethernet“ sujungimo konfigūracijas.
- Mes galime apibrėžti įvairias užkardos konfigūracijos formas (nuolatines ir veikiančias)
- Mes išsamiai išanalizuosime, kaip „Firewalld“ veikia „CentOS 7“, ir tokiu būdu suprasime visą jos didelę apimtį.
1. Pagrindinės „Firewalld CentOS 7“ sąvokos
Prieš matydami, kaip naudoti „Firewalld“ „CentOS 7“, yra keletas terminų, į kuriuos svarbu atkreipti dėmesį, nes jie bus nuolat naudojami „CentOS 7“.
Kas yra zonaTinklo zona yra ta, kurios funkcija yra nustatyti tinklo ryšio pasitikėjimo lygį.
Šias zonas tvarko „Firewalld“ įvairiose taisyklių grupėse, o vieną zoną gali naudoti daugelis tinklo jungčių.
„Firewalld“ yra keletas zonų tipų:
NuleiskiteTai žemiausias pasitikėjimo lygis, nes visi gaunami paketai automatiškai atmetami ir įjungiami tik išeinantys paketai.
BlokuotiŠis pasitikėjimo lygis yra panašus į „Drop“, tuo skirtumu, kad gaunami paketai atmetami pranešimais „icmp-host-keelatud“ IPv4 ir „icmp6-adm-keelatud IPv6“.
ViešasŠis pasitikėjimo lygis reiškia nepatikimus viešuosius tinklus, jis priima tik patikimus ryšius.
IšorinisŠis lygio tipas naudojamas, kai ugniasienę naudojame kaip šliuzą ir jos maskavimą įgalina maršrutizatoriai.
DMZŠis lygis naudojamas įrangai, esančiai DMZ (demilitarizuotoje) zonoje, tai yra, ji turi viešą prieigą prie vidinio tinklo. Jis priima tik priimtinus ryšius.
DarbasŠis lygis naudojamas darbo zonose, todėl dauguma tinklo kompiuterių turės prieigą prie jo.
namaiŠio tipo lygis naudojamas namų aplinkoje ir priimama dauguma įrangos.
VidinisŠio tipo lygis naudojamas vidiniuose tinkluose, todėl visa tinklo įranga bus priimta.
PatikimaTai yra aukščiausias lygis ir pasitiki visais gaunamais ryšiais.
Bet kurią iš šių zonų galima sukonfigūruoti taisyklėse, kurias sukuriame naudodami „Firewalld“ sistemoje „CentOS 7“.
2. Kaip sukurti nuolatinę „CentOS 7“ taisyklę
Kai sukonfigūruosime „Firewalld“ sistemoje „CentOS 7“, galime sukurti dviejų tipų taisykles, nuolatines arba neatidėliotinas, tokiu būdu, kai redaguosime taisyklę, pakeitimas bus matomas automatiškai, tačiau kitą kartą prisijungus ši taisyklė bus grąžinta.
Norėdami to išvengti, turime naudoti parametrą -permanent, kad taisyklė būtų tęstinė ir nebūtų panaikinta kiekvieno prisijungimo metu.
-nuolatinis
3. Kaip paleisti ugniasienės paslaugą „CentOS 7“
1 žingsnis
Svarbu, kad prieš kurdami būtinas taisykles su „Firewalld“ suaktyvintume „Firewalld“ paslaugą, todėl įvesime šiuos duomenis.
sudo systemctl paleiskite Firewalld.service2 žingsnis
Jei rodomas klaidos pranešimas, rodantis, kad „Firewalld“ neįdiegta, galime vykdyti šią jos diegimo komandą:
Sudo yum įdiegti ugniasienę -y3 žingsnis
Norėdami pamatyti ugniasienės paslaugos būseną, naudosime šią komandą. Matome, kad jo būsena veikia. Tokiu būdu įgalinome paslaugą ir galime sukurti bei redaguoti „CentOS 7“ užkardos taisykles.
Ugniasienė -cmd būsena
4. Kaip pamatyti dabartinę „CentOS 7“ zoną
1 žingsnis
Mes galime vizualizuoti dabartinę zoną, kurioje yra mūsų įranga, naudodami šią komandą.
Ugniasienė-cmd-get-default-zone2 žingsnis
Rezultatas bus toks:
3 žingsnis
Norėdami sužinoti, kurios taisyklės yra susietos su minėta zona, galime naudoti šią komandą:
Ugniasienė-cmd-sąrašas-viskas
5. Kaip ištirti skirtingas „CentOS 7“ zonas
1 žingsnis
Mes galime patikrinti, kurias zonas galima naudoti, įvesdami šią komandą:
Ugniasienė-cmd --get-zone
2 žingsnis
Galima peržiūrėti su zona susietą konfigūraciją naudojant parametrą -zone; pavyzdžiui:
Ugniasienė-cmd --zone = home --list-all
6. Kaip pasirinkti zonas tinklo sąsajoms „CentOS 7“
1 žingsnis
Gali būti, kad aktyvios sesijos metu norime priskirti tam tikrą zoną kompiuterio tinklo sąsajai, tam mes priskirsime namų zoną prie „CentOS 7“ eth0 sąsajos:
sudo Firewall-cmd --zone = home-change-interface = eth0
2 žingsnis
Matome, kad jo būsena yra teisinga, tai galime patvirtinti naudodami šią komandą:
Ugniasienė-cmd-get-active-zone
3 žingsnis
Problema ta, kad sąsaja grįš į numatytąją zoną, jei nesukonfigūravome toje sąsajoje apibrėžtos zonos, šios sąsajos konfigūracijos yra išdėstytos šiuo maršrutu:
/ etc / sysconfig / network-scripts4 žingsnis
Šiame kataloge esantys failai yra „ifcfg“ sąsajos formatu. Pavyzdžiui, mes galime apibrėžti eth0 sąsajos zoną naudodami šią komandą:
sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0
7. Kaip pakoreguoti „CentOS 7“ programų taisykles
1 žingsnis
Prie ugniasienės galime pridėti išimčių, kad tam tikras programas būtų galima vykdyti be jokių problemų, norėdami pamatyti „CentOS 7“ teikiamas paslaugas, naudosime šią komandą:
Ugniasienė-cmd-get-services
2 žingsnis
Norėdami įjungti paslaugą konkrečioje srityje, turėsite naudoti šį parametrą:
--add-service = parametras3 žingsnis
Jei norime pridėti http paslaugą viešojoje zonoje, naudosime šią sintaksę:
sudo Ugniasienė-cmd --zone = public --add-service = http
4 žingsnis
Naudodami šią komandą galite pamatyti visas toje zonoje esančias paslaugas, įskaitant ką tik pridėtą.
Ugniasienė-cmd --zone = public --list-services
5 žingsnis
Dabar, jei norime, kad ši paslauga būtų nuolatinė, turime pridėti, kaip jau minėjome, parametrą -permanent.
sudo Ugniasienė-cmd --zone = public --permanent --add-service = http
Tokiu būdu paslauga bus aktyvi kiekvieną kartą prisijungus prie „CentOS 7“.
8. Kaip atidaryti konkrečios zonos prievadą „CentOS 7“
1 žingsnis
Atidarę uostą užkardoje, galime gauti geresnę paramą savo programoms ir programoms, pavyzdžiui, jei turime programą, naudojančią 3500 UDP prievadą, turime ją pridėti prie zonos naudodami parametrą -add -port :
sudo užkarda-cmd --zone = public --add-port = 3500 / udp
2 žingsnis
Norėdami pamatyti atvirus užkardos prievadus, galime naudoti šią komandą.
Ugniasienė-cmd --list-port
9. Kaip sukurti savo zoną „CentOS 7“ užkardoje
Nors zonos, kurios pagal numatytuosius nustatymus yra „CentOS 7“ užkardoje, atitinka organizacijos poreikius, galbūt norėsime sukurti konkrečių paslaugų taisykles.
1 žingsnis
Mes ketiname sukurti naują zoną, pavadintą „Solvetic“, kuriai įvesime:
sudo užkarda-cmd-nuolatinis-nauja zona = solvetiškas
2 žingsnis
Mes galime naudoti šią komandą norėdami pamatyti „CentOS 7“ viešosios interneto prieigos taškus:
sudo užkarda-cmd-nuolatinė-get-zonos
3 žingsnis
Dabar, kad atsispindėtų nauja zona, turime iš naujo paleisti „Firewalld“ paslaugą naudodami šią komandą:
sudo užkarda -cmd -įkelti4 žingsnis
Dabar, jei norime prie naujos zonos pridėti paslaugą, pavyzdžiui, SSH, naudosime šią komandą:
udo Ugniasienė-cmd --zone = Solvetic --add-service = ssh
10. Kaip įjungti ugniasienę, kad ji būtų automatiškai paleista prisijungiant prie „CentOS7“
Jei norime, kad ugniasienės paslauga būtų įjungta nuo „CentOS 7“ pradžios ir nebūtina jos visada įjungti, galime naudoti šią komandą:
sudo systemctl įgalinti ugniasienęTokiu būdu ugniasienė visada bus aktyvi „CentOS 7“, apsauganti visus sistemos parametrus.
11. Kaip sustabdyti ir išjungti ugniasienę „CentOS 7“
1 žingsnis
Norėdami išjungti „Firewalld“ sistemoje „CentOS 7“, turime naudoti šią komandą:
systemctl išjungti ugniasienę
2 žingsnis
Norėdami visiškai sustabdyti „Firewalld“, naudosime šią komandą:
systemctl sustabdyti ugniasienę
12. Kaip užblokuoti ugniasienę „Linux CentOS“ ir „Ubuntu“
Kaip matome su užkarda, mums taip pat gresia pavojus, kad vietinė programinė įranga, pvz., Programos ar paslaugos, gali pakeisti mūsų ugniasienės konfigūraciją, jei jos paleidžiamos kaip root. Tačiau kaip geri administratoriai galime kontroliuoti, kurios programos gali atlikti pakeitimus, o kurios įtrauktos į baltąjį sąrašą.
1 žingsnis
Pagal numatytuosius nustatymus tai išjungta, tačiau galime ją valdyti naudodami šias komandas:
sudo ugniasienė-cmd-užrakinimas įjungtas (įjungti) sudo ugniasienė-cmd-užrakinta išjungta (išjungti)2 žingsnis
Kitas būdas saugiau valdyti šią parinktį yra tai padaryti naudojant bazinį konfigūracijos failą, nes ugniasienė-cmd ne visada egzistuoja. Todėl vykdome šiuos veiksmus:
sudo nano /etc/firewalld/firewalld.conf3 žingsnis
Čia turime ieškoti eilutės Lockdown = no ir perduoti jos būseną Lockdown = yes.
DIDELIS
4 žingsnis
Dabar jums tereikia išsaugoti pakeitimus ir išeiti naudojant šiuos klavišus:
Pakeitimus išsaugome naudodami šį klavišų derinį:
Ctrl + O
Mes paliekame redaktorių naudodami:
„Ctrl“ + X
13. Kaip išjungti ugniasienę „Linux CentOS Ubuntu“
„Linux“ sistemose ir skirtinguose jų paskirstymuose yra užkardos tipas, vadinamas UFW, kuriuo siekiama apsaugoti tinklo saugumo vientisumą, taip kontroliuojant ryšius ir nustatant, ar jie yra saugūs, ar ne. Kaip matome, „CentOS“ ši užkarda vadinama užkarda, o jos misija yra pasitikėjimo lygiai ir tinklo zonos, atsižvelgiant į tai, ar jie kenkia sistemai. Ši užkarda yra integruota ir į „CentOS“, ir į „RedHat“.
Pagal numatytuosius nustatymus ši užkarda yra išjungta, o „Solvetic“ rekomenduojame ją įjungti, kad galėtumėte valdyti, kurie ryšiai yra saugūs, o kurie ne. Tačiau kartais reikia atlikti užduotis ar bandymus, kai užkarda to neleidžia, todėl turime laikinai ją išjungti. Norėdami įjungti arba išjungti ugniasienę, galite atlikti šiuos veiksmus:
14. Kaip įdiegti ir konfigūruoti CSF ugniasienę „CentOS 7 Linux“
„CentOS“ užkardos valdyme galime kalbėti apie CSF užkardą. Tai yra pagrindinis saugos elementas valdant žiniatinklio serverius. Jo pagrindinė misija yra sustabdyti tamsią kenkėjiško turinio srautą, kuris gali patekti į serverį. Ši užkarda veikia kaip siena nuo įsibrovėlių ar didelių atakų, kurios bando sugadinti mūsų sistemas.
CSF užkarda realiu laiku ir el. Paštu praneša apie viską, kas vyksta mūsų serveriuose. Šių pranešimų dėka galėsime veikti greitai ir palengvinti iškilusias problemas. Ši CSF užkarda atlieka išsamią SPI paketų analizę, vykdydama tokias saugumo užduotis, kokias paminėjome.
Norėdami įdiegti ir sukonfigūruoti CSF ugniasienę „CentOS 7“, atliksime šiuos veiksmus.
Tokiu būdu galime valdyti visas „CentOS 7“ užkardos reikšmes, kad nustatytume zonas pagal įmonės poreikius. Saugumas yra labai svarbus ir dar svarbesnis, jei kalbame apie darbo aplinką, kurioje informacija yra daug subtilesnė.
