亚洲欧洲国产欧美一区精品,激情五月亚洲色五月,最新精品国偷自产在线婷婷,欧美婷婷丁香五月天社区

例 1：改變 sshd 守護(hù)進(jìn)程的默認(rèn)端口

在 RHCSA 系列（八）: 加固 SSH，設(shè)定主機(jī)名及啟用網(wǎng)絡(luò)服務(wù) 中，我們解釋了更改 sshd 所監(jiān)聽的默認(rèn)端口是加固你的服務(wù)器免受外部攻擊的首要安全措施。下面，就讓我們編輯 /etc/ssh/sshd_config 文件并將端口設(shè)置為 9999：

1. Port9999

保存更改并重啟 sshd：

1. #systemctl restart sshd
2. #systemctl status sshd

重啟 SSH 服務(wù)

正如你看到的那樣， sshd 啟動(dòng)失敗，但為什么會(huì)這樣呢？

快速檢查 /var/log/audit/audit.log 文件會(huì)發(fā)現(xiàn) sshd 已經(jīng)被拒絕在端口 9999 上開啟（SELinux 的日志信息包含單詞 "AVC"，所以這類信息可以被輕易地與其他信息相區(qū)分），因?yàn)檫@個(gè)端口是 JBoss 管理服務(wù)的保留端口：

1. #cat/var/log/audit/audit.log |grep AVC |tail-1

查看 SSH 日志

在這種情況下，你可以像先前解釋的那樣禁用 SELinux（但請(qǐng)不要這樣做�。�，并嘗試重啟 sshd，且這種方法能夠起效。但是， semanage 應(yīng)用可以告訴我們?cè)谀男┒丝谏峡梢蚤_啟 sshd 而不會(huì)出現(xiàn)任何問題。

運(yùn)行：

1. # semanage port -l |grepssh

便可以得到一個(gè) SELinux 允許 sshd 在哪些端口上監(jiān)聽的列表：

Semanage 工具

所以讓我們?cè)?/etc/ssh/sshd_config 中將端口更改為 9998 端口，增加這個(gè)端口到 sshportt 的上下文，然后重啟 sshd 服務(wù)：

1. # semanage port -a -t ssh_port_t-p tcp 9998
2. #systemctl restart sshd
3. #systemctlis-active sshd

semanage 添加端口

如你所見，這次 sshd 服務(wù)被成功地開啟了。這個(gè)例子告訴我們一個(gè)事實(shí)：SELinux 用它自己的端口類型的內(nèi)部定義來控制 TCP 端口號(hào)。