CentOS 7 vatrozid: Konfigurirajte, omogućite, onemogućite i stvorite pravila

Jedna od mjera uključenih u operacijske sustave za povećanje razine sigurnosti i uspostavljanje kontrole nad dolaznim i odlaznim vezama sustava. Vatrozid je temeljni dio sigurnosti naše opreme, bez obzira na sustav, jer je zaštitnik koji sprječava da neprikladan sadržaj ošteti našu opremu. Na sreću u sustavima poput Linuxa, Vatrozid je već zadano integriran i nudi nam mnoštvo mogućnosti za suočavanje s tim situacijama. Konkretno, u CentOS -u integrirani vatrozid naziva se firewalld i obavlja različite sigurnosne zadatke u našem Linuxu.

Vrlo je važno znati sve što nam vatrozid nudi na razini zaštite, a važno je znati i da se u CentOS 7 rješenje uključeno na razini vatrozida naziva Firewalld što nam nudi sljedeće prednosti.

Prednosti Firewalld -aPrednosti vatrozida CentOS 7 su:

  • To je dinamički vatrozid.
  • Stabilan.
  • Više mogućnosti konfiguracije.
  • Podržava Ipv4, Ipv6 i Ethernet konfiguracije premošćivanja.
  • Možemo definirati različite oblike konfiguracije Firewalld -a (kontinuirani i aktivni)
  • Detaljno ćemo analizirati kako Firewalld radi u CentOS -u 7 i na taj ćemo način razumjeti sav njegov opseg.

1. Osnovni pojmovi u Firewalld CentOS 7


Prije nego što vidite kako koristiti Firewalld u CentOS -u 7, potrebno je obratiti pažnju na nekoliko termina jer će oni biti stalno u CentOS -u 7.

Što je zonaMrežna zona je ona čija je funkcija definirati razinu povjerenja koju će imati mrežna veza.

Firewalld tim zonama upravlja u različitim skupinama pravila, a jednu zonu mogu koristiti mnoge mrežne veze.

U Firewalldu postoji nekoliko vrsta zona, a to su:

PadTo je najniža razina pouzdanosti jer se svi dolazni paketi automatski odbijaju i omogućuju samo odlazni paketi.

BlokOva razina povjerenja slična je Dropu s tom razlikom što se dolazni paketi odbijaju s porukama icmp-host-zabranjeno za IPv4 i icmp6-adm-zabranjeno za IPv6.

JavnostOva razina povjerenja odnosi se na nepouzdane javne mreže, prihvaća samo pouzdane veze.

VanjskiOva vrsta razine koristi se kada vatrozid koristimo kao pristupnik, a usmjerivači omogućuju njegovo maskiranje.

DMZOva razina koristi se u opremi koja se nalazi u zoni DMZ (demilitarizirana), odnosno ima javni pristup s ograničenjem na unutarnju mrežu. Prihvaća samo prihvaćene veze.

RaditiOva se razina koristi u radnim područjima pa joj većina računala u mreži ima pristup.

DomOva vrsta razine koristi se u kućnom okruženju i većina opreme je prihvaćena.

UnutarnjiOva vrsta razine koristi se u internim mrežama, pa će biti prihvaćena sva mrežna oprema.

PouzdanoOvo je najviša razina i vjeruje svim dolaznim vezama.

Bilo koja od ovih zona može se konfigurirati u pravilima koja stvaramo pomoću Firewallda u CentOS -u 7.

2. Kako stvoriti trajno pravilo CentOS 7


Kada konfiguriramo Firewalld u CentOS -u 7, možemo stvoriti dvije vrste pravila, trajna ili neposredna, na ovaj način kada uređujemo pravilo, promjena će se vidjeti automatski, ali pri sljedećoj prijavi ovo pravilo će se poništiti.

Da bismo to izbjegli, moramo upotrijebiti parametar -permanent tako da pravilo bude kontinuirano i da se ne eliminira pri svakoj prijavi.

 -trajan

3. Kako pokrenuti uslugu vatrozida u CentOS -u 7

Korak 1
Važno je da prije stvaranja potrebnih pravila s Firewalldom aktiviramo uslugu Firewalld, za to unosimo sljedeće.

 sudo systemctl start Firewalld.service 
Korak 2
U slučaju da se prikaže poruka o pogrešci koja pokazuje da Firewalld nije instaliran, možemo izvršiti sljedeću naredbu za njegovu instalaciju:
 Sudo yum install Firewalld -y 
Korak 3
Da bismo vidjeli status usluge Vatrozida upotrijebit ćemo sljedeću naredbu. Vidimo da njegova država radi. Na ovaj način smo omogućili uslugu te smo u mogućnosti stvoriti i urediti pravila vatrozida u CentOS -u 7.
 Vatrozid -cmd -stanje

4. Kako vidjeti trenutnu zonu CentOS -a 7

Korak 1
Pomoću sljedeće naredbe možemo vizualizirati trenutnu zonu u kojoj se nalazi naša oprema.

 Vatrozid-cmd --get-default-zone 
Korak 2
Rezultat će biti sljedeći:

Korak 3
Da bismo znali koja su pravila povezana s navedenom zonom, možemo upotrijebiti sljedeću naredbu:

 Vatrozid-cmd --list-all

5. Kako istražiti različite zone u CentOS -u 7

Korak 1
Možemo provjeriti koje su zone dostupne za korištenje unošenjem sljedeće naredbe:

 Vatrozid-cmd --get-zone 

Korak 2
Moguće je vidjeti konfiguraciju povezanu sa zonom pomoću parametra -zone; na primjer:

 Vatrozid-cmd --zone = home --list-all 

6. Kako odabrati zone za mrežna sučelja u CentOS -u 7

Korak 1
Moguće je da u aktivnoj sesiji želimo dodijeliti određenu zonu mrežnom sučelju računala, za to ćemo dodijeliti kućnu zonu eth0 sučelju CentOS -a 7:

 sudo Firewall-cmd --zone = home --change-interface = eth0 

Korak 2
Možemo vidjeti da je njegov status ispravan, možemo to potvrditi pomoću sljedeće naredbe:

 Vatrozid-cmd --get-active-zone 

Korak 3
Problem je u tome što će se sučelje vratiti na zadanu zonu ako nismo konfigurirali zonu definiranu unutar navedenog sučelja, ove konfiguracije sučelja smještene su na sljedećoj ruti:

 / etc / sysconfig / network-scripts 
Korak 4
Datoteke unutar ovog direktorija su u formatu sučelja ifcfg. Na primjer, možemo definirati zonu za eth0 sučelje pomoću sljedeće naredbe:
 sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0 

7. Kako prilagoditi pravila za aplikacije u CentOS -u 7

Korak 1
Vatrozidu možemo dodati iznimke kako bi se određene aplikacije mogle izravno izvesti bez ikakvih problema. Za pregled usluga dostupnih u CentOS -u 7 upotrijebit ćemo sljedeću naredbu:

 Vatrozid-cmd --get-usluge 

Korak 2
Za omogućavanje usluge u određenom području bit će potrebno koristiti sljedeći parametar:

 --add-service = parametar 
Korak 3
Ako želimo dodati uslugu http u javnu zonu, upotrijebit ćemo sljedeću sintaksu:
 sudo Firewall-cmd --zone = public --add-service = http 

Korak 4
Pomoću sljedeće naredbe moguće je vidjeti sve usluge u toj zoni, uključujući i onu koja je upravo dodana.

 Vatrozid-cmd --zone = javni --list-services 

Korak 5
Sada, ako želimo da ova usluga bude trajna, moramo dodati, kao što smo spomenuli, -permanent parametar.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

Na taj će način usluga biti aktivna pri svakoj prijavi u CentOS 7.

8. Kako otvoriti port za određenu zonu u CentOS -u 7

Korak 1
Otvaranje porta u vatrozidu daje nam mogućnost dobivanja bolje podrške za naše aplikacije i programe, na primjer, ako imamo aplikaciju koja koristi 3500 UDP port, moramo je dodati u zonu pomoću parametra -add -port poput ovog :

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Korak 2
Da bismo vidjeli otvorene portove u vatrozidu, možemo upotrijebiti sljedeću naredbu.

 Vatrozid-cmd --list-portovi 

9. Kako stvoriti vlastitu zonu u Firewalldu CentOS 7


Iako zone koje su zadane u CentOS 7 vatrozidu zadovoljavaju potrebe organizacije, možda bismo htjeli stvoriti naša pravila za određene usluge.

Korak 1
Stvorit ćemo novu zonu pod nazivom Solvetic, za koju ćemo unijeti sljedeće:

 sudo Vatrozid-cmd --permanent --new-zone = Solvetic 

Korak 2
Pomoću sljedeće naredbe možemo vidjeti vruće točke u CentOS -u 7:

 sudo Vatrozid-cmd --permanent --get-zone 

Korak 3
Sada, kako bi se nova zona odrazila, moramo ponovno pokrenuti uslugu Firewalld pomoću sljedeće naredbe:

 sudo Firewall -cmd -reload 
Korak 4
Sada, ako želimo dodati uslugu u našu novu zonu, na primjer, SSH, upotrijebit ćemo sljedeću naredbu:
 udo Vatrozid-cmd --zone = Solvetic --add-service = ssh 

10. Kako omogućiti vatrozid za automatsko pokretanje prilikom prijave na CentOS7


Ako želimo da usluga vatrozida bude omogućena od početka CentOS -a 7, a nije nužno omogućiti je u svakom trenutku, možemo upotrijebiti sljedeću naredbu:
 sudo systemctl omogućiti Firewalld 
Na ovaj način Vatrozid će u svakom trenutku biti aktivan u CentOS -u 7 štiteći sve parametre sustava.

11. Kako zaustaviti i onemogućiti Firewalld u CentOS -u 7

Korak 1
Da bismo onemogućili Firewalld u CentOS -u 7, moramo upotrijebiti sljedeću naredbu:

 systemctl onemogućiti Firewalld 

Korak 2
Za potpuno zaustavljanje Firewallda upotrijebit ćemo sljedeću naredbu:

 systemctl stop Firewalld 

12. Kako blokirati Firewalld na Linux CentOS -u i Ubuntu -u


Kao što vidimo s vatrozidom, također smo u opasnosti da lokalni softver, poput programa ili usluga, može promijeniti konfiguraciju našeg vatrozida ako se pokrene kao root. No, kao dobri administratori možemo kontrolirati koji programi mogu unijeti promjene, a koji su obuhvaćeni dopuštenjem.

Korak 1
To je zadano onemogućeno, ali to možemo kontrolirati pomoću sljedećih naredbi:

 sudo firewall-cmd --lockdown-on (Omogući) sudo firewall-cmd --lockdown-off (onemogući)
Korak 2
Druga metoda za upravljanje ovom opcijom na sigurniji način je to učiniti iz osnovne konfiguracijske datoteke jer firewall-cmd ne postoji uvijek. Stoga izvršavamo sljedeće:
 sudo nano /etc/firewalld/firewalld.conf
Korak 3
Ovdje moramo potražiti redak Lockdown = no i prosljeđujemo njegov status Lockdown = yes.

POVEĆAJTE

Korak 4
Sada samo trebate spremiti promjene i izaći s ovim tipkama:
Promjene spremamo pomoću sljedeće kombinacije tipki:

Ctrl + O

Urednik ostavljamo koristeći:

Ctrl + X

13. Kako onemogućiti vatrozid u Linux CentOS Ubuntu


Linux sustavi i njihove različite distribucije uključuju vrstu vatrozida zvanu UFW koji nastoji zaštititi integritet mrežne sigurnosti, kontrolirajući tako veze i utvrđujući jesu li sigurne ili nisu. Kao što vidimo, unutar CentOS -a ovaj se vatrozid naziva firewalld i njegova je misija razine povjerenja i mrežne zone ovisno o tome jesu li štetne za sustav ili ne. Ovaj Firewalld integriran je u CentOS i RedHat.

Prema zadanim postavkama ovaj firewalld je onemogućen, a u Solveticu preporučujemo da ga omogućite da kontrolira koje su veze sigurne, a koje nisu. Međutim, postoje slučajevi kada moramo izvesti zadatke ili testove u kojima to vatrozid sprječava i zato ga moramo privremeno onemogućiti. Da biste aktivirali ili deaktivirali vatrozid, možete učiniti sljedeće:

14. Kako instalirati i konfigurirati CSF vatrozid na CentOS 7 Linux


Unutar upravljanja vatrozidom unutar CentOS -a možemo govoriti o CSF ​​vatrozidu. Ovo je osnovni sigurnosni element u upravljanju web poslužiteljem. Njegova je glavna misija zaustaviti mračni promet zlonamjernog sadržaja koji može ući na poslužitelj. Ovaj vatrozid djeluje kao zid protiv uljeza ili grubih napada koji pokušavaju oštetiti naše sustave.

CSF vatrozid nas u stvarnom vremenu i putem e -pošte obavještava o svemu što se događa na našim poslužiteljima. Zahvaljujući ovim obavijestima moći ćemo brzo djelovati i ublažiti nastale probleme. Ovaj vatrozid CSF izvodi iscrpnu analizu SPI paketa dok izvršava sigurnosne zadatke poput onih koje smo spomenuli.

Kako bismo instalirali i konfigurirali CSF vatrozid u CentOS 7 učinit ćemo sljedeće.

Na taj način možemo upravljati svim Firewalld vrijednostima u CentOS -u 7 kako bismo uspostavili zone prema korporativnim potrebama. Sigurnost je vrlo važna i više ako govorimo o radnom okruženju u kojem su informacije puno osjetljivije.

wave wave wave wave wave