Viena geriausių saugumo politikos, kurią galime įgyvendinti bet kurioje operacinėje sistemoje, yra taisyklės, kurios gali būti taikomos per užkardą, nes ji yra atsakinga už įeinančių ar išeinančių ryšių, galinčių kelti pavojų sistemos saugumui, vientisumui ir prieinamumui, prevenciją. Uostai padeda mums bendrauti, šiuo atveju - programinėje įrangoje ir vadinami loginiais prievadais. Taigi jie leidžia bendrauti tarp programų ir sukuria duomenų srautą tarp skirtingų komandų arba toje pačioje.
Naudodamiesi užkarda, mes turime galimybę leisti tam tikroms programoms prieiti prie sistemos administraciniais ar palaikymo klausimais, nesvarbu, ar tai būtų žiniatinklio serveriai, SSH ar bet kuri kita paslauga, apimanti duomenų įvedimą ir išvedimą tinkle ir pagal numatytuosius nustatymus „CentOS 7“ o „RedHat“ ši užkarda turi gana pastebimų apribojimų dėl savo verslo aplinkos.
Šiandien pamatysime, kaip galime atidaryti „CentOS 7“ užkardos prievadą, kad tam tikra paslauga turėtų leidimą perduoti duomenis ir nebūtų užblokuota užkardos apribojimo.
Šioje vaizdo įrašo pamokoje galite pamatyti, kaip pamatyti dabartines „CentOS 7“ taisykles, taip pat sužinoti, kaip atidaryti arba pridėti prievadą prie ugniasienės, taip kontroliuojant duomenų perdavimą per ją. Tikrai naudinga išvengti nereikalingo informacijos nutekėjimo.
1. Kaip peržiūrėti dabartines „CentOS 7“ taisykles
Svarbu prisiminti, kad „CentOS 7“ užkardos lygio funkcija yra žinoma kaip užkarda ir per ją mes turime galimybę sukurti naujas zonas ir paprastu būdu suteikti prieigą prie įvairių paslaugų.
1 žingsnis
Norėdami pamatyti dabartines taisykles, naudosime šią komandą:
sudo iptables -L2 žingsnis
Gautas rezultatas yra toks. Čia yra visas taisyklių sąrašas su atitinkamais leidimais, kurie šiuo metu yra „CentOS 7“.
2. Kaip atidaryti prievadą „CentOS 7“
Kaip minėjome, „firewalld“ yra nauja paslauga, atsakinga už „CentOS 7“ ir „RedHat“ užkardos politikos valdymą ir administravimą, todėl šiam valdymui naudosime parametrą „firewall-cmd“.
1 žingsnis
Sintaksė, naudojama norint atidaryti „CentOS 7“ prievadą, yra tokia:
užkarda-cmd --zone = (zona) --add-port = (prievado #) / (protokolas)-nuolatinisPavyzdžiui, jei norime atidaryti 25 tcp prievadą, įvesime šią eilutę:
sudo ugniasienė-cmd --zone = public --add-port = 25 / tcp -permanent
2 žingsnis
Pridėjome parametrą -permanent, kad prievadas taptų nuolatinis, tai yra, kiekvieną kartą prisijungus prie sistemos, ši taisyklė bus sukurta sukurtam prievadui ir nebūtina kiekvieną kartą vykdyti komandos. Galiausiai naudosime šią komandą, kad iš naujo paleistume užkardos paslaugą ir leistume pakeitimams įsigalioti:
sudo užkarda -cmd -iš naujo
3. Kaip atidaryti aptarnaujamą prievadą „CentOS 7“
Taip pat gali būti, kad prievadus atidarome naudodami ankstesnes komandas arba nurodome paslaugą, kurią norime atidaryti ar paleisti. Pamatysime du pavyzdžius, kai atidarome ftp ir http paslaugą. Tokiu būdu mes galime paspartinti laiką ir greitai pradėti teikti paslaugas.
firewall-cmd --permanent --zone = public --add-service = http (atidarome http paslaugą) firewall-cmd --permanent --zone = public --add-service = ftp (atidarome ftp paslaugą)
4. Kaip patikrinti šiuo metu atidarytus „CentOS 7“ prievadus
Norėdami patikrinti, kurie uostai buvo ar buvo atidaryti, naudosime šią komandą. Ten mes pažvelgsime į uostų liniją, kad pamatytume, kurie prievadai yra įjungti sistemoje.
užkarda-cmd-sąrašas-viskas
5. Kaip atidaryti prievadą naudojant „TUI“ įrankį „CentOS 7“
TUI yra funkcinė grafinė sąsaja nuo „CentOS 6“, tačiau ją galime naudoti taip pat „CentOS 7“.
1 žingsnis
Visų pirma, jį reikės įdiegti ir tam naudosime šią komandą:
yum įdiegti sistemą-config-firewall-tui
2 žingsnis
Atsisiuntę ir įdiegę paketus, turime sustabdyti ir išjungti ugniasienės paslaugą „CentOS 7“, tam mes įvesime šias komandas:
systemctl stop firewalld.service systemctl išjungti firewalld.service3 žingsnis
Dabar galime naudoti TUI su šia komanda:
system-config-firewall-tui
4 žingsnis
Pirma, kad įrankis leistų mums sukonfigūruoti prievadų pridėjimą, lauke „Ugniasienė“ turime suaktyvinti langelį „Įgalinta“. Tada spustelėkite „Tinkinti“ ir pamatysime šį langą, kuriame turime pasirinkti paslaugą, kurią norite įjungti:
5 žingsnis
Mes pasirenkame juos paspausdami tarpo klavišą, kai jį apibrėžsime, paspausdami klavišą „Tab“, mygtuką „Pirmyn“ ir pamatysime šiuos dalykus:
6 žingsnis
Ten mes pasirenkame parinktį „Pridėti“, kad įtrauktumėte reikiamus prievadus:
7 žingsnis
Pridėję prievado numerį prie atitinkamo protokolo, pasirenkame parinktį „Priimti“ ir pamatysime pridėtą prievadą:
8 žingsnis
Mes pasirenkame parinktį Uždaryti ir bus parodytas toks informacijos langas. Ten patvirtiname pakeitimus spustelėdami parinktį Taip.
6. Kaip uždaryti „CentOS 7“ prievadą
1 žingsnis
Pirmas dalykas, kurį mes padarysime, yra patikrinti, kuriuos uostus šiuo metu atidarome, ir nuspręsti, kuriuos iš jų norime uždaryti:
nmap localhost2 žingsnis
Jei norime pamatyti ugniasienės būseną, vykdysime šiuos veiksmus:
iptables -L -n -v3 žingsnis
Norėdami uždaryti konkretų prievadą, atliksime šią sintaksę iš terminalo:
sudo fuser -k prievadas sudo fuser -k 80 / tcp4 žingsnis
Jei norime užblokuoti srautą tik tam tikrame uoste, taikysime šią taisyklę:
sudo ufw deneny port / service sudo ufw deny 4231 / udpTokiu būdu mes turime keletą galimybių pridėti prievadą prie „CentOS 7“ ir tokiu būdu įgalinti paslaugos teikimą sistemoje neribojant ugniasienės, tačiau atminkite, kad tai turi būti paslaugos, kurios yra tikrai gyvybiškai svarbios optimaliam organizacijos funkcionavimui. . Norėdami sužinoti daugiau apie užkardą, galite pamatyti šią mokymo programą:
