没有selinux的linux使用自主访问控制,即自己给自己权限,如果某个具有root权限的程序被攻破,那么攻击者就可以为所欲为
有selinux的linux引入了强制访问控制,即使一个程序以root权限运行,它的行为也必须也必须遵守selinux策略规则,他只能访问策略明确允许他访问的文件、端口和资源
selinux是一个极其强大的安全层,虽然在初期可能因为其复杂性给管理员带来调整,但理解其概念和工作原理后,能极大提升系统的整体安全性,生产环境推荐在充分测试后,使其保持在enforcing模式
selinux介绍1234567891011121314151617181920212223...
firewalld 红帽防火墙firewalld是 红帽从rhel7开始提供的一种防火墙工具,是一种iptables的前端,但是层次更高,支持命令行或者图形化两种管理方式
从一开始firewalld使用iptables作为后端,后面将默认后端切换为了nftables
firewalld使用zone(区域)概念,和华为的防火墙差不多,相当于策略模板,不同的场景可以选择不同的策略模板,以实现策略之间的快速切换:比如一个网卡eth0绑定了A区域,A区域绑定了eth0 1 2网卡
注:如果想要使用iptables-nft,需要停止防火墙服务,否则可能导致防火墙规则冲突
firewall-cmd...
iptables防火墙语法表用以对功能进行分组,最常用的有:
filter表 默认表,负责过滤数据包(常用
nat表 负责网络地址转换
mangle表 用以修改数据包头(不常用
raw表 决定是否对数据包进行状态跟踪(不常用
security表 最不常用的表,与selinux相关,用于MAC(强制访问控制)网络规则
这几张表的处理顺序是:raw→mangle→nat→filter→security
链
规则的有序集合,数据包在经过netfilter时,会进入对应的链进行检查
input 处理入栈请求的包
output 处理出栈包
forward 处理转发数据包,实现不同网段间通信
...
集中认证服务器的类型
基于LDAP的集中认证系统LDAP是一种常用的集中认证方式,将信息存储在LDAP目录中,具有层次化结构,便于组织和管理大量用户数据
基于kerberos的集中认证系统kerberos是一种网络认证协议,使用票据来验证用户身份,有一个专门的kerberos服务器负责颁发和管理票据
基于OAuth或OpenID Connect的集中认证系统(互联网APP常用)用于互联网应用和云服务中的身份认证与授权。OAuth允许用户授权第三方应用访问其在另一个服务提供商上的资源OpenID Connect在OAuth基础上,提供了简单的身份验证机制
1234567891011121...
Send-only邮件服务器是仅负责发送邮件而不处理接收邮件的服务器,适用于需要对外发送通知、警报等场景。
send-only功能
仅发送邮件
不接收外部邮件,无需配置POP3/IMAP服务。
不处理发往自身域名的邮件(如没有MX记录)。
简化配置
无需设置邮件存储、用户邮箱或复杂的DNS MX记录。
通常关闭25端口的外部监听(仅允许出站连接)。
安全性优化
避免开放接收端口,减少垃圾邮件攻击风险。
需配置SMTP认证(如SASL)和TLS加密,防止滥用。
轻量级
不占用资源处理邮件队列存储(如自动转发到外部服务)。
说白了,适用于大量服务器监控,配合cro...
DHCP协议报文DHCP协议的核心复杂性在于其丰富的Option,Option允许DHCP协议灵活扩展,支持各种网络参数的动态配置。
比如DHCP Server Identifier(Option 54) 用以标识DHCP服务器的身份,在DHCP服务器返回offer时会带上,client先收到谁的offer,就去谁的option54那
这几个报文里一般只有前五个是比较常用的
报文类型
发送方
目的
内容示例
触发场景
DHCP Discover
客户端
寻找可用DHCP服务器
客户端MAC地址、请求参数(如租期)
客户端首次接入网络或租约过期
DHCP Offer
服务器...
基础配置信息1234567891011121314151617181920212223242526/# 安装yum -y install bind# 配置文件/etc/named.confoptions { # 监听IPv4地址网卡的地址的53端口 listen-on port 53 { 10.163.2.100; }; listen-on-v6 port 53 { ::1; }; # 定义BIND的工作目录,区域文件默认存放路径 directory ...
解析查找顺序默认情况下,使用host、dig、nslookup时,会默认使用dns进行解析
但是当使用ping、curl时,会优先使用/etc/hosts中的解析
这是因为**/etc/nsswitch.conf**这个文件中定义了查找的顺序
1234567891011121314151617181920/etc/nsswitch.conf# In order of likelihood of use to accelerate lookup.shadow: files# hosts: files dns myhostname ←...
与缓存服务器不同的时,缓存服务器使用的是forward-zone,也就是对于A范围的域名,指向xxxx
而权威DNS服务器使用的是本地zone
dns服务器配置12345678910# yum -y install unbound# 安装与配置unboundvim /etc/unbound/unbound.confinterface: 0.0.0.0access-control: 0.0.0.0/0 allowinclude: /etc/unbound/local.d/*.confunbound-control-setup
添加本地解析
12345678910111213141516...
在搭建之前,请保证已经了解DNS根服务器、顶级域名服务器、权威服务器等概念
了解主机DNS查询方式与过程,了解资源记录类型与含义,域名结构等。对基础知识不做赘述
DNS缓存服务器:
缓存名称服务器将DNS查询结果存储在本地缓存中,并在它们的ttl过期时从缓存中删除资源记录。通常设置缓存名称服务器以代表本地网络上的客户端执行查询。这大大提高了DNS名称解析的效率,减少DNS流量在互联网上。随着缓存的增长,DNS性能会随着缓存名称服务器从其本地缓存响应越来越多的客户端查询而提高。有几个包可用于配置缓存名称服务器,包括bind、dnsmasq和unbound
搭建DNS缓存服务器配置缓存服务...