企业官网建设流程全解析

谷歌seo网站怎么做产品分类,潜江seo,手机html5网站开发,学校网站建设经验介绍一、发现问题 事情起因#xff1a; 同事反馈ESXI中的A虚拟机#xff08;Centos#xff09;无法ssh远程了#xff08;远程端口在虚拟机创建时就被修改为了10022#xff09;#xff0c;但前段时间都还可以正常登录。 初步排查#xff1a; A虚拟机可以被ping通#xff0…一、发现问题事情起因同事反馈ESXI中的A虚拟机Centos无法ssh远程了远程端口在虚拟机创建时就被修改为了10022但前段时间都还可以正常登录。初步排查A虚拟机可以被ping通但是telnet 10022端口显示超时。因此初步判断是防火墙拦截问题。二、排查经过和解决办法1、查看虚拟机内防火墙发现是关闭状态。尝试重启没用看报错也无法看出什么如下图因此journalctl -xe进一步查看报错如下图这里显示我们报错的原因跟selinux目前策略有关根据过完经历大概明白是因为SELinux做安全加固是使用了targeted策略导致。2、查看selinux发现是正常运行targeted策略不允许未经授权的程序访问网络端口除非这些端口已经被明确地添加到 SELinux 的策略中。解决办法有2种但本篇文章只写了最简单的一种将10022添加到策略中相关命令及解释如下图上图命令可以查看SELinux在targeted策略下允许的协议类型及对应的端口号semanage port -a -t http_port_t -p tcp8080-a 表示添加。 -t 后面跟的是类型在这个例子中是 http_port_t这是专门为 HTTP 服务预留的类型。 -p 指定协议在这个例子中是 tcp。8080是你要开放的端口号。再次重启ssh就可以正常启动成功了如下图3、再次用其他主机尝试telnet A主机的10022端口发现还是超时。反思后想起来Centos的防火墙除了firewall还有iptables如下图将1002端口在iptables中配置为允许如下图添加成功后查看iptables全部策略可以看到添加成功4、问题解决。三、总结在重要机关单位和大型企业中安全加固是必不可少了因此将selinux设置为target策略、将许多重要服务的默认端口修改比如ssh端口修改为10022、将防火墙打开都是必须的。但相应带来的问题就是许多重要服务的默认端口被修改后运维人员必须要注意修改相应的selinux策略和防火墙规则。本篇文章最初的起因就是不熟悉运维流程的虚拟机使用者在进行相应的安全加固操作后并未做完整的加固流程。教训修改默认端口、修改selinux策略、封禁和开放重要端口往往都是配套的。