RHEL 8 的 SSH 加密算法默认会使用来自 crypto policies 系统的全局 SSH 加密算法，而此方法将让 SSH 使用单独设置的 SSH 加密算法。

正文：

步骤一：启用 SSH 加密算法

1.1 备份 /etc/sysconfig/sshd 配置文件

# cp /etc/sysconfig/sshd /etc/sysconfig/sshd_backup

1.2 修改 /etc/sysconfig/sshd 配置文件

# vim /etc/sysconfig/sshd

将以下内容：

# CRYPTO_POLICY=

修改为：

CRYPTO_POLICY=

步骤二：设置 SSH 的加密算法

2.1 在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 SSH 加密算法属性

2.1.1 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 加密算法属性：

（内容略）

（注意：如果需要使用的 SSH 加密算法已包含在其中了则可以不用添加）

2.1.2 显示目前正在被使用的 SSH 加密算法

# printf "%s\n" $(source /etc/crypto-policies/back-ends/opensshserver.config; echo $CRYPTO_POLICY) | cut -c3-
Ciphers=aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
MACs=hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
GSSAPIKexAlgorithms=gss-curve25519-sha256-,gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-,gss-gex-sha1-,gss-group14-sha1-
KexAlgorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
HostKeyAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
PubkeyAcceptedKeyTypes=ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,ssh-rsa,ssh-rsa-cert-v01@openssh.com
CASignatureAlgorithms=ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-256,rsa-sha2-512,ssh-rsa

（补充：这里以显示 RHEL8 默认使用的 SSH 加密算法为例）

2.2 在 /etc/ssh/sshd_config 配置文件中设置要使用的 SSH 加密算法

2.2.1 备份 /etc/ssh/sshd_config 配置文件

# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup

2.2.2 在 /etc/ssh/sshd_config 配置文件中添加要使用的 SSH 加密算法

# vim /etc/ssh/sshd_config

添加以下内容：

......
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

（
补充：这里以使用：
1) aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法
2) hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法
3) ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法
为例
）

2.2.3 让在 /etc/ssh/sshd_config 配置文件中添加要使用的 SSH 加密算法生效

# systemctl restart sshd

步骤三：测试 SSH 加密算法

3.1 测试 SSH Ciphers 加密算法

3.1.1 测试某个 SSH Ciphers 加密算法

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH Ciphers 加密算法为例）

3.1.2 测试多个 SSH Ciphers 加密算法

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH Ciphers 加密算法为例）

3.2 测试 SSH MACs 加密算法

3.2.1 测试某个 SSH Ciphers 加密算法

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH MACs 加密算法为例）

3.2.2 测试多个 SSH Ciphers 加密算法

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH MACs 加密算法为例）

在给 nftables 防火墙的策略文件添加规则前，要先使用 nftables 防火墙的策略文件：

正文：

案例一：允许某个 IP 地址访问某个端口

ip saddr 192.168.0.1 tcp dport ssh accept

或者：

ip saddr 192.168.0.1 tcp dport 22 accept

（补充：这里以允许 IP 地址 192.168.0.1 访问 22 端口为例）

案例二：允许某个 IP 地址访问多个端口

ip saddr 192.168.0.1 tcp dport {22,80,443,3306} accept comment "accept local port"

（补充：这里以允许 IP 地址 192.168.0.1 访问 22 端口、80 端口、443 端口和 3066 端口为例）

案例三：允许多个 IP 地址访问多个端口

ip saddr {192.168.0.1,192.168.0.2,192.168.0.3} tcp dport {22,80,443,3306} accept comment "accept local port"

（补充：这里以允许 IP 地址 192.168.0.1、192.168.0.2 和 192.168.0.3 访问 22 端口、80 端口、443 端口和 3066 端口为例）

案例四：拒绝所有 IP 地址访问多个端口

tcp dport {22,80,443,3306} drop comment "drop remote port"

（补充：这里以拒绝所有 IP 地址的 22 端口、80 端口、443 端口和 3306 端口为例）

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

交互式给 SSL 证书 KEY 私钥添加密码

# openssl rsa -des -in eternalcenter.com.key -out one.eternalcenter.com.key

（补充：这里以给 eternalcenter.com.key）

内容二：取消 SSL 证书 KEY 私钥添加密码

2.1 交互式取消 SSL 证书 KEY 私钥添加密码

# openssl rsa -in one.eternalcenter.com.key -out two.eternalcenter.com.key

2.2 非交互式取消 SSL 证书 KEY 私钥添加密码

# openssl rsa -in one.eternalcenter.com.key -passin pass:eternalcenter -out two.eternalcenter.com.key

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

系统运行的 kernel 内核已经被删除，此 kernel 内核相关的文件集都已经被删除，包括 ko 文件。安装新版本的 kernel 内核，并重启选择新版本的 kernel 内核，就能修复相关 kernel 内核文件集。

解决方法

步骤一：更新 kernel 内核

如果是 Rocky Linux & RHEL：

# yum update kernel*

如果是 openSUSE & SLE：

# zypper update kernel*

步骤二：重启系统

# reboot

1.1 SSH 配置文件的位置

/etc/ssh/sshd_config

1.2 SSH 配置文件的所属主、所属组和权限

1.2.1 确保 SSH 配置文件的所属主和所属组都是 root

# chown root:root /etc/ssh/sshd_config

1.2.2 确保 SSH 配置文件的权限是 640

# chmod 640 /etc/ssh/sshd_config

内容二：SSH 常用安全加强配置项

2.1 将 SSH 设置为 v2 版本

2.1.1 将 SSH 设置为 v2 版本的配置参数

Protocol 2

2.1.2 将 SSH 设置为 v2 版本的参考步骤

# sed -i 's/.*Protocol .*/Protocol 2/g' /etc/ssh/sshd_config

2.2 忽略 Rhosts 认证

2.2.1 忽略 Rhosts 认证的配置参数

IgnoreRhosts yes

2.2.2 设置忽略 Rhosts 认证的参考步骤

# sed -i 's/^.*IgnoreRhosts .*/IgnoreRhosts yes/g' /etc/ssh/sshd_config

2.3 禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证

2.3.1 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的配置参数

HostbasedAuthentication no

2.3.2 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的参考步骤

# sed -i 's/.*HostbasedAuthentication .*/HostbasedAuthentication no/g' /etc/ssh/sshd_config

2.4 禁止使用用户提交的 SSH 环境

2.4.1 设置禁止使用用户提交的 SSH 环境的配置参数

PermitUserEnvironment no

2.4.2 设置禁止使用用户提交的 SSH 环境的参考步骤

# sed -i 's/.*PermitUserEnvironment .*/PermitUserEnvironment no/g' /etc/ssh/sshd_config

2.5 禁止 root 用户通过 SSH 登录

2.5.1 禁止 root 用户通过 SSH 登录的配置参数

PermitRootLogin no

2.5.2 设置禁止 root 用户通过 SSH 登录的参考步骤

# sed -i 's/.*PermitRootLogin .*/PermitRootLogin no/g' /etc/ssh/sshd_config

2.6 禁止空密码 SSH 登录

2.6.1 禁止空密码 SSH 登录的配置参数

PermitEmptyPasswords no

2.6.2 设置禁止空密码 SSH 登录的参考步骤

# sed -i 's/.*PermitEmptyPasswords .*/PermitEmptyPasswords no/g' /etc/ssh/sshd_config

2.7 将 SSH 登录信息写入系统日志

2.7.1 将 SSH 登录信息写入系统日志的配置参数

SyslogFacility AUTH

2.7.2 设置将 SSH 登录信息写入系统日志的参看步骤

# sed -i 's/.*SyslogFacility .*/SyslogFacility AUTH/g' /etc/ssh/sshd_config

2.8 记录全部 SSH 信息

2.8.1 记录全部 SSH 信息的配置参数

LogLevel INFO

2.8.2 设置记录全部 SSH 信息的参考步骤

# sed -i 's/.*LogLevel .*/LogLevel INFO/' /etc/ssh/sshd_config

2.9 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数

2.9.1 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的配置参数

MaxAuthTries 5

（补充：这里以设置最大尝试登录失败数是 5 次为例，如果此时尝试登录次数超过 2，则系统日志中会出现登录失败的记录）

2.9.2 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的参考步骤

# sed -i 's/.*MaxAuthTries .*/MaxAuthTries 5/g' /etc/ssh/sshd_config

（补充：这里以设置最大尝试登录失败数是 5 次为例，如果此时尝试登录次数超过 2，则系统日志中会出现登录失败的记录）

2.10 设置 SSH 登录时密码输入的时间

2.10.1 设置 SSH 登录时密码输入的时间的配置参数

LoginGraceTime 600

或者：

LoginGraceTime 10m

（补充：这里以设置 SSH 登录时密码输入的时间为 600 秒为例）

2.10.2 设置 SSH 登录时密码输入的时间都参考步骤

# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 600/g' /etc/ssh/sshd_config

或者：

# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 10m/g' /etc/ssh/sshd_config

（补充：这里以设置 SSH 登录时密码输入的时间为 600 秒为例）

2.11 禁止 SSH 图形界面转发

2.11.1 禁止 SSH 图形界面转发的配置参数

X11Forwarding no

2.11.1 设置禁止 SSH 图形界面转发的参考步骤

# sed -i 's/.*X11Forwarding .*/X11Forwarding no/g' /etc/ssh/sshd_config

2.12 禁止 SSH TCP 转发

2.12.1 设置禁止 SSH TCP 转发的配置参数

AllowTcpForwarding no

2.12.2 设置禁止 SSH TCP 转发的参考步骤

# sed -i 's/.*AllowTcpForwarding .*/AllowTcpForwarding no/g' /etc/ssh/sshd_config

2.13 不显示上次 SSH 登录的信息，例如时间和地点等

2.13.1 设置不显示上次 SSH 登录的信息，例如时间和地点等的配置参数

PrintMotd no

或者：

PrintLastLog no

2.13.1 设置不显示上次 SSH 登录的信息，例如时间和地点等的参考步骤

# sed -i 's/.*PrintMotd .*/PrintMotd no/g' /etc/ssh/sshd_config

或者：

# sed -i 's/.*PrintLastLog .*/PrintLastLog no/g' /etc/ssh/sshd_config

2.14 设置同时只能让几个 SSH 用户登录

2.14.1 设置同时只能让几个 SSH 用户登录的配置参数

MaxStartups 10:30:60

（
补充：这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求，超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 （这里设置的是 10 个），再新发起 SSH 登录请求的用户，会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时，再新发起 SSH 登录请求的用户全部会被拒绝，这里的 30 参数将会无效
）

2.14.2 设置同时只能让几个 SSH 用户登录的参考步骤

# sed -i 's/.*MaxStartups .*/MaxStartups 10:30:60/g' /etc/ssh/sshd_config

（
补充：这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求，超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 （这里设置的是 10 个），再新发起 SSH 登录请求的用户，会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时，再新发起 SSH 登录请求的用户全部会被拒绝，这里的 30 参数将会无效
）

2.15 设置每个连接可以开启会话的个数

2.15.1 设置每个连接可以开启会话的个数的配置参数

MaxSessions 4

（补充：这里以设置每个连接可以开启 4 个会话为例，默认值为 10）

2.15.2 设置每个连接可以开启会话的个数的参考步骤

# sed -i 's/.*MaxSessions .*/MaxSessions 4/g' /etc/ssh/sshd_config

（补充：这里以设置每个连接可以开启 4 个会话为例，默认值为 10）

2.16 设置客户端 SSH 空闲超时时间

2.16.1 设置客户端 SSH 空闲超时时间的配置参数

ClientAliveInterval 100
ClientAliveCountMax 3

（补充：这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例）

2.16.2 设置客户端 SSH 空闲超时时间的参考步骤

# sed -i 's/.*ClientAliveInterval .*/ClientAliveInterval 100/g' /etc/ssh/sshd_config
# sed -i 's/.*ClientAliveCountMax .*/ClientAliveCountMax 3/g' /etc/ssh/sshd_config

（补充：这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例）

2.17 指定安全的 SSH Ciphers 加密算法

2.17.1 设置 SSH Ciphers 加密算法的配置参数

Ciphers aes256-ctr,aes192-ctr,aes128-ctr

（补充：这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例）

2.17.2 设置 SSH Ciphers 加密算法的参考步骤

# echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config

（补充：这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例）

2.18 指定安全的 SSH MACs 加密算法

2.18.1 设置 SSH MACs 加密算法的配置参数

MACs hmac-sha2-512,hmac-sha2-256

（补充：这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例）

2.18.2 设置 SSH MACs 加密算法的参考步骤

# echo "MACs hmac-sha2-512,hmac-sha2-256" >> /etc/ssh/sshd_config

（补充：这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例）

2.19 指定安全的 SSH KexAlgorithms 加密算法

2.19.1 设置 SSH KexAlgorithms 加密算法的配置参数

KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

（补充：这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例）

2.19.2 设置 SSH KexAlgorithms 加密算法的参考步骤

# echo "KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256" >> /etc/ssh/sshd_config

（补充：这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例）

2.20 只允许某 IP 地址可以 SSH 本服务器

2.20.1 启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

2.20.2 禁止所有 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : ALL 

2.20.3 只允许某 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

......
sshd : 192.168.0.1/32 : ALLOW
sshd : ALL

（补充：这里以允许 IP 地址 192.168.0.1 可以 SSH 本服务器为例）

（注意：这和防火墙的策略一样从上往下匹配及停止，所以允许某 IP 地址可以 SSH 本服务器的策略一定要加在禁止所有 IP 地址可以 SSH 本服务器的策略之前）

2.21 只允许从某 IP 地址来的某用户可以 SSH 本服务器

# vim /etc/ssh/sshd_config

添加以下内容：

......
AllowUsers zhumingyu mingyuzhu@192.168.1.1
AllowGroups zhu

（
补充：这里以
1) 允许用户 zhumingyu 可以登录
2) 允许从 192.168.1.1 来的用户 mingyuzhu 可以登录
3) 允许属于组 zhu 的用户可以登录
其它用户不能登录
为例
）

2.22 禁止某 IP 地址可以 SSH 本服务器

2.22.1 启用 UseTCPWrappers 参数

# vim /etc/ssh/sshd_config

将部分内容修改如下：

......
UseTCPWrappers yes
......

2.22.2 禁止某 IP 地址可以 SSH 本服务器

# vim /etc/hosts.deny

添加以下内容：

sshd : 192.168.0.1/32 : ALLOW

（补充：这里以禁止 IP 地址 192.168.0.1 可以 SSH 本服务器为例）

2.23 禁止从某 IP 地址来的某用户可以 SSH 本服务器

# vim /etc/ssh/sshd_config

添加以下内容：

......
DenyUsers zhumingyu mingyuzhu@192.168.1.1
DenyGroups zhu

（
补充：这里以
1) 禁止用户 zhumingyu 登录
2) 禁止从 192.168.1.1 来的用户 mingyuzhu 登录
3) 禁止属于组 zhu 的用户登录
其它用户都可以登录
为例
）

内容三：重启 sshd 服务

# systemctl restart sshd

（补充：内容二里的参数只有重启了 sshd 服务后才能生效）

1.1 进入 ~/.ssh 目录

# cd ~/.ssh

1.2 生成新的 SSH 密钥

# ssh-keygen -b 4096 -t rsa -C "<content>" -f "<public private key name>"

步骤二：将新的 SSH 公钥拷贝到目标服务器

# for i in `cat <server list>`;do echo $i;ssh-copy-id -i ~/.ssh/<public private key name>.pub $i;echo;done

步骤三：更新 SSH 密钥

3.1 更新 SSH 私钥

3.1.1 备份旧有的 SSH 私钥

# mv id_rsa id_rsa.backup

3.1.2 更新 SSH 私钥

# cp <public private key name> id_rsa

3.2 更新 SSH 公钥

3.2.1 备份旧有的 SSH 公钥

# mv id_rsa.pub id_rsa.pub.backup

3.2.2 更新 SSH 公钥

# cp <public private key name>.pub id_rsa.pub

步骤四：删除目标服务器的旧有 SSH 公钥

4.1 删除目标服务器的旧有 SSH 公钥

# for i in `cat <server list>`;do echo $i;ssh $i "sed -i /<old SSH key content>/d ~/.ssh/authorized_keys";echo;done

4.2 确定目标服务器就有的 SSH 已经删除

# for i in `cat <server list>`;do echo $i;ssh $i "cat ~/.ssh/authorized_keys | egrep -v '<content>'";echo;done

基本信息

作者：朱明宇
名称：显示系统常用信息
作用：显示系统常用信息

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本

脚本分割线里的变量

1. times=5 #显示系统常用信息的次数
2. sleeptime=0.3 #大部分行与行之间显示的间隔时间

注意

1. 需要安装 sysstat 软件
2. 执行此脚本的用户能够使用 sudo ip a s 命令
3. 执行此脚本的用户能够使用 sudo ss -ntulap 命令
4. 搭建了 KVM 虚拟化平台后执行此脚本的用户能够使用 sudo virsh list 命令后才能实现

脚本

#!/bin/bash

####################### Separator ########################
times=5
sleeptime=0.3
####################### Separator ########################

nowtime=1

while (( nowtime <= times))
do
        echo -e "Start Monitoring: \c"
	for i in {1..94}
	do
	        echo -e "#\c"
		sleep 0.01
        done
	echo

	sleep $sleeptime
        host=`hostname`
        echo -e "Name:\t\t\t\t\t\t\t \033[1m$host\033[0m"

        ip=`sudo ip a s | awk '/[1-2]?[0-9]{0,2}\.[1-2]?[0-9]{0,2}/&&!/127.0.0.1/{print $2}' | awk -F/ '{print $1}'`
	for iip in $(echo $ip)
        do
		sleep $sleeptime
                echo -e "IP Address:\t\t\t\t\t\t \033[1m$iip\033[0m"
        done

        sleep $sleeptime

        cpu=`top -bn 1 | awk -F',' '/^%Cpu/{print $4 }' | awk '{print $1}' | awk '{print 100-$1}'`
        echo -e "CPU Usage (Total):\t\t\t\t\t \033[1m$cpu%\033[0m"

        sleep $sleeptime

        mem=`free | grep Mem | awk '{print $3/$2 * 100.0}' | egrep -o "[1]?[0-9]{0,2}\.[0-9]"`
        echo -e "Memory Usage (Total):\t\t\t\t\t \033[1m$mem%\033[0m"

	directory=`df -h | grep -v run | grep -v boot | awk '$1~/\/dev/{print $6}'`
        for idirectory in `echo $directory`
        do
                sleep $sleeptime
                directoryusage=`df -h | grep -v run | grep -v boot | awk '$1~/\/dev/{print}' | grep $idirectory$ | awk '{print $5}'`
		if [ $idirectory == / -o $idirectory == /sda -o $idirectory == /sdb  ];then
                        echo -e "Directory Usage ($idirectory):\t\t\t\t\t \033[1m$directoryusage\033[0m"
	        else
                        echo -e "Directory Usage ($idirectory):\t\t\t\t \033[1m$directoryusage\033[0m"
		fi
        done

	sudo -l | grep 'virsh list' &> /dev/null
        if [ $? -eq 0 ];then
	        sleep $sleeptime
	        virtual=`sudo virsh list | egrep [0-9] | wc -l`
	        echo -e "Number of Virtual Machines (Total):\t\t\t \033[1m$virtual\033[0m"
        fi

        sleep $sleeptime

        user=`who | wc -l`
        echo -e "Number of User Logins (Total):\t\t\t\t \033[1m$user\033[0m"

        soft=`rpm -qa | wc -l`
        echo -e "Number of Softwares (Total):\t\t\t\t \033[1m$soft\033[0m"

        sleep $sleeptime

        port=`sudo ss -ntulap | wc -l`
        echo -e "Number of Open Ports (Total):\t\t\t\t \033[1m$port\033[0m"

        which sar &> /dev/null
        if [ $? -eq 0 ];then
                networkcard=`ifconfig | awk -F: '/flags/&&!/lo/{print $1}'`
                for inetworkcard in `echo $networkcard`
                do
                        networkread="`sar -n DEV 1 1 | grep $inetworkcard | awk '/[0-9][0-9]:[0-9][0-9]/{print $3/1000}'` m/s"
                        networkwrite="`sar -n DEV 1 1 | grep $inetworkcard | awk '/[0-9][0-9]:[0-9][0-9]/{print $4/1000}'` m/s"
			echo $inetworkcard | grep eth &> /dev/null
			if [ $?  -ne 0 ];then
	                echo -e "Network Card IO ($inetworkcard):\t\t\t\t \033[1m$networkread\033[0m (Read)\t\033[1m$networkwrite\033[0m (Write)"
		        else
	                echo -e "Network Card IO ($inetworkcard):\t\t\t\t\t \033[1m$networkread\033[0m (Read)\t\033[1m$networkwrite\033[0m (Write)"
			fi
                done
        fi

        which iostat &> /dev/null
        if [ $? -eq 0 ];then
	        disk=`iostat -d -k 1 1 | awk '!/^$/&&!/Device/&&!/Linux/{print $1}'`
                for idisk in `echo $disk`
	        do
			sleep $sleeptime
		        diskread="`iostat -d -k 1 1 | grep $idisk |  awk '{print $3/1000}'` m/s"
		        diskwrite="`iostat -d -k 1 1 | grep $idisk |  awk '{print $4/1000}'` m/s"
			echo $idisk | grep 'nvme' &> /dev/null
			if [ $? -eq 0 ];then
		                echo -e "Disk IO (/dev/$idisk):\t\t\t\t\t \033[1m$diskread\033[0m (Read)\t\033[1m$diskwrite\033[0m (Write)"
		        else
		                echo -e "Disk IO (/dev/$idisk):\t\t\t\t\t \033[1m$diskread\033[0m (Read)\t\033[1m$diskwrite\033[0m (Write)"
			fi
	        done

        fi

        echo -e "Complete Monitoring: \c"
        for i in {1..91}
        do
                echo -e "#\c"
                sleep 0.01
        done
        echo
        sleep $sleeptime

        let nowtime++
done

        echo -e "Terminal Monitoring: \c"
        for i in {1..91}
        do
                echo -e "#\c"
                sleep 0.01
        done

exit

# service iptables save

内容二：Rocky Linux & RHEL 和 openSUSE & SUSE iptables 防火墙规则持久化

2.1 导出现在 iptables 防火墙的规则

# iptables-save > /root/iptables_save

（补充：这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例）

2.2 创建用于加载 iptables 防火墙规则的 systemctl 管理文件

# vim /etc/systemd/system/iptables_save.service

创建以下内容：

[Unit]
Description=iptables_save
After=default.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables-restore < /root/iptables_save

[Install]
WantedBy=default.target

（补充：这里以创建 systemctl 管理文件 /etc/systemd/system/iptables_save.service 将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例）

2.3 加载刚刚创建的 systemctl 管理文件

# systemctl daemon-reload

2.4 给刚刚创建的 systemctl 管理文件添加执行权限

# chmod u+x /etc/systemd/system/iptables_save.service

（补充：这里以给 systemctl 管理文件 /etc/systemd/system/iptables_save.service 添加执行权限为例）

2.5 让防火墙规则开机自启

# systemctl enable iptables_save.service

（补充：这里以开机自启 iptables_save.service 服务为例）

# iptables-save > /root/iptables_save

（补充：这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例）

内容二：导入 iptables 防火墙规则

# iptables-restore < /root/iptables_save

（补充：这里以将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例）

# openssl s_client -connect eternalcenter.com:443
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = eternalcenter.com
verify return:1
---
Certificate chain
 0 s:CN = eternalcenter.com
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = eternalcenter.com

issuer=C = US, O = Let's Encrypt, CN = R3

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 4695 bytes and written 412 bytes
Verification: OK
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: D63BC88824810A4D43ACE901AD4FF2D82073BC6F0D8B2DE71F6310CA1C87707F
    Session-ID-ctx: 
    Master-Key: A6836430C394B96DDD5552867D49802F94AAC8BF5E882100F0D27185CF5CFD6A946B94D87652E44A6684FC9781D16D90
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - bb be 55 e0 4b 6d c3 08-cd bc 45 6e 79 67 fc eb   ..U.Km....Enyg..
    0010 - 30 d5 4c 8a 5a c8 f7 13-42 4b 1d 02 ce 94 c0 b8   0.L.Z...BK......
    0020 - d7 cf f6 f0 ee 9d 49 5b-0a c8 a4 1a 8b dd 8a e0   ......I[........
    0030 - 66 83 52 9b 31 4d da 9e-d5 05 1a 70 ca e9 86 5e   f.R.1M.....p...^
    0040 - f5 09 a1 1c 92 6b 64 90-b7 e1 0e ec 30 e2 26 68   .....kd.....0.&h
    0050 - 49 13 10 9e 3e a5 e0 13-a2 f1 7a 7c c5 ad 99 6c   I...>.....z|...l
    0060 - e9 f6 1d 46 5f cc f6 f9-c5 f6 05 49 53 78 7e ea   ...F_......ISx~.
    0070 - 8c 17 eb 8d 96 c3 3f 92-fe e0 f0 f6 86 59 05 c8   ......?......Y..
    0080 - d2 8c 27 6b 9d 65 38 20-84 d4 23 54 35 70 19 4d   ..'k.e8 ..#T5p.M
    0090 - db 35 6d f4 44 50 d7 6e-a5 87 2b 32 e5 f8 42 88   .5m.DP.n..+2..B.
    00a0 - 28 e2 ab 35 e1 2c 06 71-e5 b2 82 cb 3a 75 cc 72   (..5.,.q....:u.r
    00b0 - ed ae e1 12 ff 82 6c 3a-3a 38 7a 8c 3c 9c f1 10   ......l::8z.<...
    00c0 - 78 b8 37 87 c3 a2 00 76-01 72 8c ef 3b 20 48 28   x.7....v.r..; H(

    Start Time: 1644931899
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: yes
---
closed

（补充：这里以显示 eternalcenter.com 的 443 端口的 SSL 证书为例）

内容二：查看主要信息

# echo | openssl s_client -connect scc.suse.com:443 | head -n 16
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = eternalcenter.com
verify return:1
---
Certificate chain
 0 s:CN = eternalcenter.com
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---

（补充：这里以显示 eternalcenter.com 的 443 端口的 SSL 证书为例）

1) DEFAULT 不严格的安全等级，可以让系统使用 TLSv1.2
2) FUTURE 严格的安全等级，只能让系统使用 TLSv1.2 不能使用 TLSv1.3

内容二：显示当前的 update-crypto-policies 参数

# update-crypto-policies --show
DEFAULT

（补充：从这里可以看出目前的 update-crypto-policies 参数是 DEFAULT）

内容三：设置 update-crypto-policies 参数

# update-crypto-policies --set=FUTURE

（补充：这里以将 update-crypto-policies 参数设置为 FUTURE 为例）

curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

分析

Rocky Linux 8 & RHEL 8 已经默认废弃 TLSv1.2
可以使用 TLSv1.3 替代 TLSv1.2 或者将 update-crypto-policies 参数设置为 DEFAULT 以解决此报错

解决方法

步骤一：显示当前的 update-crypto-policies 参数

# update-crypto-policies --show
FUTURE

（补充：从这里可以看出目前的 update-crypto-policies 参数是 FUTURE）

步骤二：将 update-crypto-policies 参数设置为 DEFAULT

# update-crypto-policies --set=DEFAULT

（补充：这里以将 update-crypto-policies 参数设置为 DEFAULT 为例）

（步骤略）

步骤二：安装 certbot

# yum -y install certbot

（补充：这里以在 Fedora 35 上安装 certbot 为例）

步骤三：使用 certbot 生成 Let’s Encrypt SSL 证书

# certbot certonly --email mingyu.zhu@eternalcenter.com -n --agree-tos --webroot -w /usr/share/nginx/html/ -d eternalcenter.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Requesting a certificate for eternalcenter.com
Performing the following challenges:
http-01 challenge for eternalcenter.com
Using the webroot path /usr/share/nginx/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/eternalcenter.com/privkey.pem
   Your certificate will expire on 2022-03-20. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

（
补充：这里以
1) 使用 mingyu.zhu@eternalcenter.com 邮箱
2) 以非交互式的方式
3) 通过给 /usr/share/nginx/html/ 网站目录里添加验证文件进行验证
4) 给 eternalcenter.com 域名
申请 Let’s Encrypt SSL 证书为例
）

步骤四：显示已经生成的 Let’s Encrypt SSL 证书

# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: eternalcenter.com
    Serial Number: 3e8cdb74a1abfbf3d535ec1c3f8cb3e4e4c
    Key Type: RSA
    Domains: eternalcenter.com
    Expiry Date: 2022-03-20 13:48:48+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/eternalcenter.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/eternalcenter.com/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

（
补充：
1) /etc/letsencrypt/live/eternalcenter.com/fullchain.pem 是公钥
2) /etc/letsencrypt/live/eternalcenter.com/privkey.pem 是私钥
）

步骤五：延期 Let’s Encrypt SSL 证书

5.1 显示 Let’s Encrypt SSL 证书的延期策略

# cat /etc/letsencrypt/renewal/eternalcenter.com.conf 
# renew_before_expiry = 30 days
version = 1.20.0
archive_dir = /etc/letsencrypt/archive/eternalcenter.com
cert = /etc/letsencrypt/live/eternalcenter.com/cert.pem
privkey = /etc/letsencrypt/live/eternalcenter.com/privkey.pem
chain = /etc/letsencrypt/live/eternalcenter.com/chain.pem
fullchain = /etc/letsencrypt/live/eternalcenter.com/fullchain.pem

（补充：可以看出 Let’s Encrypt SSL 证书是在过期前 30 天才能更新）

5.2 手动延期 Let’s Encrypt SSL 证书

# /usr/bin/certbot renew

（补充：这里以延期 Let’s Encrypt SSL 证书为例）

5.3 自动延期 Let’s Encrypt SSL 证书

# crontab -e

添加以下内容：

......
0 0 */30 * * /usr/bin/certbot renew

（补充：这里以每过 30 天的 0 时 0 分延期 Let’s Encrypt SSL 证书为例）

步骤六：Let’s Encrypt SSL 证书的生成限制

1) 一个域名申请次数不能超过 5 次/周
2) 允许申请失败次数不能超过 5 次/时
3) 属于同一个顶级域名的二级域名申请次数不能超过 20 次/周
4) 申请请求频率不能超过 20 次/秒
5) 一个 IP 地址创建用户个数不能超过 10 个/3 小时
6) 一个用户最多 pending 审核的数不能超过 300 个

只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙

正文：

步骤一：从 firewalld 防火墙切换至 nftables 防火墙

1.1 安装 nftables 防火墙

# dnf install nftables

1.2 清空 iptables 防火墙的策略表

1.2.1 清空 ipv4 iptables 防火墙的策略表

# iptables -F

1.2.2 清空 IPv6 iptables 防火墙的策略表

# ip6tables -F

1.3 停止使用 firewalld 防火墙

1.3.1 取消 firewalld 防火墙开机自启

# systemctl disable firewalld.service

1.3.2 停止 firewalld 防火墙

# systemctl stop firewalld.service

1.4 启用 nftables 防火墙

1.4.1 开机自启 nftables 防火墙

# systemctl enable nftables

1.4.2 启动 nftables 防火墙

# systemctl start nftables

步骤二：创建永久的 nftales 防火墙的策略表并条件永久的 nftables 防火墙策略

2.1 在 nftables 防火墙的配置文件中添加 nftables 防火墙策略文件

# vi /etc/sysconfig/nftables.conf

添加以下内容：

......
include "/etc/nftables/nftables.rules"

2.2 在 nftables 防火墙策略文件中添加 nftables 防火墙策略

# vi /etc/nftables/nftables.rules
flush ruleset
table inet siemens_FW {
    chain siemens_FW_input {
      type filter hook input priority 0; policy accept;
      iif "lo" accept
      ip saddr 127.0.0.0/8 counter packets 0 bytes 0 drop
      ip6 saddr ::1 counter packets 0 bytes 0 drop
      ip saddr 192.168.1.1 tcp dport ssh accept                  
      tcp dport ssh drop
    }
    chain siemens_FW_forward {
      type filter hook forward priority 0; policy accept;
    } 
    chain siemens_FW_output {
      type filter hook output priority 0; policy accept;
    }
}

（
补充：
（1）这里以基本的本地巡回路由策略并禁止除 192.168.1.1 的 IP 地址访问本地的 22 端口为例
（2）这里的 /etc/nftables/nftables.rules 是在 2.1 中添加的
）

2.3 让添加的 nftables 防火墙策略生效

# systemctl start nftables

补充：

只有 CentOS 8 & RHEL 8 才可以使用 nftables 防火墙

正文：

步骤一：从 firewalld 防火墙切换至 nftables 防火墙

1.1 安装 nftables 防火墙

# dnf install nftables

1.2 清空 iptables 防火墙的策略表

1.2.1 清空 ipv4 iptables 防火墙的策略表

# iptables -F

1.2.2 清空 IPv6 iptables 防火墙的策略表

# ip6tables -F

1.3 停止使用 firewalld 防火墙

1.3.1 取消 firewalld 防火墙开机自启

# systemctl disable firewalld.service

1.3.2 停止 firewalld 防火墙

# systemctl stop firewalld.service

1.4 启用 nftables 防火墙

1.4.1 开机自启 nftables 防火墙

# systemctl enable nftables

1.4.2 启动 nftables 防火墙

# systemctl start nftables

步骤二：创建 nftables 防火墙的策略表

2.1 创建 nftables 防火墙的策略表

# nft create table inet <table>

2.2 创建 nftables 防火墙的策略表的 input 链

# nft create chain inet <table> input { type filter hook input priority 0 \; }

2.3 创建 nftables 防火墙的策略表的 forward 链

# nft create chain inet <table> forward { type filter hook forward priority 0 \; }

2.4 创建 nftables 防火墙的策略表的 output 链

# nft create chain inet <table> output { type filter hook output priority 0 \; }

步骤三：添加临时基本的本地巡回路由策略

# nft add rule inet filter input iif lo accept
# nft add rule inet filter input ip saddr 127.0.0.0/8 counter drop
# nft add rule inet filter input ip6 saddr ::1 counter drop

在 SELinuxProject 的官网上下载 SELinux 策略 UseRefpolicy：

https://github.com/SELinuxProject/refpolicy/wiki/UseRefpolicy

注意：

1) 如果使用此文的方法将 openSUSE & SLE 的 SELinux 设置为 Enforcing 则系统将无法设置 IP 地址
2) 如果使用此文的方法开启了 SELinux 并且将所有的布尔（boolean）值开启，则系统将无法关机，开启所有布尔值的方法：# for i in semanage boolean -l | awk '{print $1}'; do echo $i;setsebool -P $i 1; done

正文：

步骤一：安装 SELinux 组件

# zypper in libselinux1 libsemanage1 libsepol-devel libsepol1 libselinux-devel mcstrans libselinux1-32bit policycoreutils checkpolicy libsemanage-devel setools-tcl setools-libs setools-java setools-devel setools-console selinux-tools python3-policycoreutils python3-selinux python3-semanage python3-setools restorecond

步骤二：安装 SELinux 策略

2.1 解压包含 SELinux 策略的压缩包

# tar -xvf refpolicy-2.20210203.tar.bz2

（补充：这里以解压 refpolicy-2.20210203.tar.bz2 压缩包为例）

2.2 将 SELinux 策略移动到 SELinux 配置文件的位置

# mv refpolicy /etc/selinux/

2.3 进入到和 SELinux 策略相同目录下

# cd /etc/selinux/refpolicy/

2.4 显示 SELinux 策略的安装手册

# cat INSTALL

2.5 创建 SELinux 策略的配置文件

# make conf

2.6 创建 SELinux 策略

# make policy

2.7 编译 SELinux 策略

# make install

2.8 安装 SELinux 策略

# make load

步骤三：配置 SELinux 配置文件

3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态

# vim /etc/selinux/config

创建以下内容：

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=refpolicy

3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux 状态设置为 Permissive

3.2.1 设置 /etc/default/grub 配置文件

# vim /etc/default/grub

在这一行里：

GRUB_CMDLINE_LINUX_DEFAULT="......"

添加以下内容：

GRUB_CMDLINE_LINUX_DEFAULT="...... security=selinux selinux=1 enforcing=0"

3.2.2 让刚刚设置的 /etc/default/grub 配置文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

3.3 刷新系统内所有文件的标签

# restorecon -Rp /

步骤四：重启系统让 SELinux 生效

# reboot

参考文献：

https://documentation.suse.com/sles/15-SP2/html/SLES-all/cha-selinux.html

1) Disabled：完全关闭 SELinux
2) Permissive：即使违反了策略也依旧可以执行，但是违反策略的记录会被记录在日志中
3) Enforcing：如果违反了策略就不能之行

内容二：永久切换 SELinux 状态

2.1 将 SELinux 永久切换至 Disabled 状态

2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=disabled
......

2.1.2 重启系统

# reboot

2.1.3 显示 SELinux 状态

# getenforce 
Disabled

2.2 将 SELinux 永久切换至 Permissive 状态

2.2.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=permissive
......

2.2.2 重启系统

# reboot

2.2.3 显示 SELinux 状态

# getenforce 
Permissive

2.3 将 SELinux 永久切换至 Enforcing 状态

2.3.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=enforcing
......

2.3.2 重启系统

# reboot

2.3.3 显示 SELinux 状态

# getenforce 
Enforcing

内容三：临时切换 SELinux 状态

3.1 临时切换到 Permissive 状态

3.1.1 临时切换到 Permissive 状态

# setenfoce 0

（
注意：
1) 系统重启后失效
2) 只能从 Enforcing 状态切换到 Permissive 状态
）

3.1.2 显示 SELinux 状态

# getenforce 
Permissive

3.2 临时切换到 Enforcing 状态

3.2.1 临时切换到 Enforcing 状态

# setenfoce 1

（
注意：
1) 系统重启后失效
2) 只能从 Permissive 状态切换到 Enforcing 状态
）

3.2.2 显示 SELinux 状态

# getenforce 
Enforcing

基本信息

作者：朱明宇
名称：检测服务器某个端口有没有启动
作用：检测服务器某个端口有没有启动

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本
4. 如果被检测的端口被启动则会被记录在指定文件里

脚本分割线里的变量

1. checkport=’7111′ #被检测的端口
2. logfile=’checkportlog.txt’ #记录文件

脚本

#!/bin/bash

####################### Separator ########################
checkport='7111'
logfile='checkportlog.txt'
####################### Separator ########################

a=`/sbin/ss -ntulap | grep udp | grep $checkport | awk '{print $7}' | awk -F'"' '{print $2}'`

if [ -n "$a" ];then
       echo `date` >> $logfile
       echo $checkport >> $logfile
       echo `/sbin/ss -ntulap | grep udp | grep $checkport | awk '{print $7}' | awk -F'"' '{print $2}'` >> $logfile
       echo >> $logfile
fi