麒麟KYLINOS通过命令行配置kysec的防火墙

news2024/11/17 15:39:11

原文链接:麒麟KYLINOS通过命令行配置kysec的防火墙
hello,大家好啊,今天给大家带来一篇使用命令行配置kysec的防火墙的文章,通过本篇文章的学习,大家可以了解到图形化界面中的防火墙信息是如何生成的,为后期我们将防火墙的相关配置放入到定制镜像中做准备。首先给大家演示在图形化界面上该怎么操作,然后对应的操作如何利用命令行界面完成。

1、查看麒麟系统信息

pdsyw@pdsyw-pc:~/桌面$ cat /etc/.kyinfo 
[dist]
name=Kylin
milestone=Desktop-V10-SP1-General-Release-2303
arch=arm64
beta=False
time=2023-04-27 15:46:53
dist_id=Kylin-Desktop-V10-SP1-General-Release-2303-arm64-2023-04-27 15:46:53

[servicekey]
key=0516013

[os]
to=
term=2024-08-01

pdsyw@pdsyw-pc:~/桌面$ 

image.png

2、安装ssh

root@pdsyw-pc:~# apt install ssh -y
正在读取软件包列表... 完成
正在分析软件包的依赖关系树       
正在读取状态信息... 完成       
下列软件包是自动安装的并且现在不需要了:
  archdetect-deb dmeventd libaio1 libdebian-installer4
  libdevmapper-event1.02.1 liblvm2cmd2.03 localechooser-data lvm2 user-setup
使用'apt autoremove'来卸载它(它们)。
将会同时安装下列软件:
  ncurses-term openssh-server openssh-sftp-server ssh-import-id
建议安装:
  molly-guard monkeysphere ssh-askpass ufw
下列【新】软件包将被安装:
  ncurses-term openssh-server openssh-sftp-server ssh ssh-import-id
升级了 0 个软件包,新安装了 5 个软件包,要卸载 0 个软件包,有 16 个软件包未被升级。
需要下载 1,030 kB 的归档。
解压缩后会消耗 6,097 kB 的额外空间。
获取:1 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1-2303-updates/main arm64 openssh-sftp-server arm64 1:8.2p1-4kylin3k0.3 [50.1 kB]
获取:2 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1-2303-updates/main arm64 openssh-server arm64 1:8.2p1-4kylin3k0.3 [357 kB]
获取:3 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1-2303-updates/main arm64 ssh all 1:8.2p1-4kylin3k0.3 [105 kB]
获取:4 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1/main arm64 ncurses-term all 6.2-0kylin2 [501 kB]
获取:5 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1/main arm64 ssh-import-id all 5.10-0kylin1 [17.2 kB]
已下载 1,030 kB,耗时 1(1,489 kB/s)   
正在预设定软件包 ...
正在选中未选择的软件包 openssh-sftp-server。
(正在读取数据库 ... 系统当前共安装有 191610 个文件和目录。)
准备解压 .../openssh-sftp-server_1%3a8.2p1-4kylin3k0.3_arm64.deb  ...
正在解压 openssh-sftp-server (1:8.2p1-4kylin3k0.3) ...
正在选中未选择的软件包 openssh-server。
准备解压 .../openssh-server_1%3a8.2p1-4kylin3k0.3_arm64.deb  ...
正在解压 openssh-server (1:8.2p1-4kylin3k0.3) ...
正在选中未选择的软件包 ssh。
准备解压 .../ssh_1%3a8.2p1-4kylin3k0.3_all.deb  ...
正在解压 ssh (1:8.2p1-4kylin3k0.3) ...
正在选中未选择的软件包 ncurses-term。
准备解压 .../ncurses-term_6.2-0kylin2_all.deb  ...
正在解压 ncurses-term (6.2-0kylin2) ...
正在选中未选择的软件包 ssh-import-id。
准备解压 .../ssh-import-id_5.10-0kylin1_all.deb  ...
正在解压 ssh-import-id (5.10-0kylin1) ...
正在设置 openssh-sftp-server (1:8.2p1-4kylin3k0.3) ...
正在设置 openssh-server (1:8.2p1-4kylin3k0.3) ...

Creating config file /etc/ssh/sshd_config with new version
Creating SSH2 RSA key; this may take some time ...
3072 SHA256:KGiMMxfVed8XFMfJDAgboVL3LT/WWfU8szRWwe0IzuA root@pdsyw-pc (RSA)
Creating SSH2 ECDSA key; this may take some time ...
256 SHA256:NMxxVNmzCAP21CttTPR2jljmf8dxfLAoo25PJ7/f7Jw root@pdsyw-pc (ECDSA)
Creating SSH2 ED25519 key; this may take some time ...
256 SHA256:9MM0et35Ll8U28DnUbrDx0NR8LjQ81qgNFPCJodEjfE root@pdsyw-pc (ED25519)
Created symlink /etc/systemd/system/sshd.service → /lib/systemd/system/ssh.servi
ce.
Created symlink /etc/systemd/system/multi-user.target.wants/ssh.service → /lib/s
ystemd/system/ssh.service.
rescue-ssh.target is a disabled or a static unit, not starting it.
正在设置 ssh-import-id (5.10-0kylin1) ...
Attempting to convert /etc/ssh/ssh_import_id
正在设置 ncurses-term (6.2-0kylin2) ...
正在设置 ssh (1:8.2p1-4kylin3k0.3) ...
正在处理用于 man-db (2.9.1-1kylin0k1) 的触发器 ...
正在处理用于 systemd (245.4-4kylin3.15k0.26) 的触发器 ...
root@pdsyw-pc:~# 

image.png

3、查看shh服务状态

root@pdsyw-pc:~# systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: e>
     Active: active (running) since Wed 2023-10-25 16:58:06 CST; 23s ago
       Docs: man:sshd(8)
             man:sshd_config(5)
   Main PID: 10573 (sshd)
      Tasks: 1 (limit: 9420)
     Memory: 1.2M
     CGroup: /system.slice/ssh.service
             └─10573 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

1025 16:58:06 pdsyw-pc systemd[1]: Starting OpenBSD Secure Shell server...
1025 16:58:06 pdsyw-pc sshd[10573]: Server listening on 0.0.0.0 port 22.
1025 16:58:06 pdsyw-pc sshd[10573]: Server listening on :: port 22.
1025 16:58:06 pdsyw-pc systemd[1]: Started OpenBSD Secure Shell server.
root@pdsyw-pc:~#

image.png

4、查看IP地址

root@pdsyw-pc:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:1c:42:3b:79:c8 brd ff:ff:ff:ff:ff:ff
    inet 10.211.55.49/24 brd 10.211.55.255 scope global dynamic noprefixroute enp0s5
       valid_lft 1564sec preferred_lft 1564sec
    inet6 fdb2:2c26:f4e4:0:e583:5d78:f1b6:d339/64 scope global temporary dynamic 
       valid_lft 604445sec preferred_lft 85893sec
    inet6 fdb2:2c26:f4e4:0:70f4:6b68:3f20:cd70/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 2591920sec preferred_lft 604720sec
    inet6 fe80::3aa3:f428:7b8:728/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0
4: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1000
    link/tunnel6 :: brd ::
root@pdsyw-pc:~#

image.png

5、使用远程连接,发现连接失败

Last login: Wed Oct 25 15:19:17 on ttys001
roc@ROC ~ % ssh pdsyw@10.211.55.49
ssh: connect to host 10.211.55.49 port 22: Connection refused
roc@ROC ~ % 

image.png

6、点击安全中心高级配置
image.png

7、添加22端口放开的防火墙
image.png

8、22端口放行
image.png

9、使用ssh连接成功

roc@ROC ~ % ssh pdsyw@10.211.55.49    
The authenticity of host '10.211.55.49 (10.211.55.49)' can't be established.
ED25519 key fingerprint is SHA256:txRKtgIJRu8kLSoI6AfI3mM5f3Ufb9BL+njSlgrAkfk.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.211.55.49' (ED25519) to the list of known hosts.
pdsyw@10.211.55.49's password: 
Welcome to Kylin V10 SP1 (GNU/Linux 5.4.18-85-generic aarch64)

 * Management:     http://www.kylinos.cn/ * Support:        http://www.kylinos.cn/service.aspx
pdsyw@pdsyw-pc:~$ 

image.png

10、删除防火墙配置
image.png

11、再次使用ssh连接,发现连接失败
image.png

12、进入/etc/kylin-firewall/路径

pdsyw@pdsyw-pc:~/桌面$ sudo -i
root@pdsyw-pc:~# cd /etc/kylin-firewall/
root@pdsyw-pc:/etc/kylin-firewall# ll
总用量 32
drwxr-xr-x   5 root root  4096 427 15:30 ./
drwxr-xr-x 165 root root 12288 1025 16:58 ../
drwxr-xr-x   2 root root  4096 427 15:30 builtin_rules/
drwxr-xr-x   2 root root  4096 427 15:30 custom_rules/
-rw-r--r--   1 root root   837 427 15:30 kylin-firewall.conf
drwxr-xr-x   2 root root  4096 427 15:30 modes/
root@pdsyw-pc:/etc/kylin-firewall# 

image.png

13、进入 custom_rules/下拷贝icmp.xml为sshport.xml

root@pdsyw-pc:/etc/kylin-firewall# cd custom_rules/
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# ll
总用量 44
drwxr-xr-x 2 root root 4096 427 15:30 ./
drwxr-xr-x 5 root root 4096 427 15:30 ../
-rw-r--r-- 1 root root  223 427 15:30 apt-p2p.xml
-rw-r--r-- 1 root root  286 427 15:30 Default-Rule1.xml
-rw-r--r-- 1 root root  273 427 15:30 Default-Rule2.xml
-rw-r--r-- 1 root root  235 427 15:30 Default-Rule3.xml
-rw-r--r-- 1 root root  227 427 15:30 icmp.xml
-rw-r--r-- 1 root root  248 427 15:30 Kylin-Connectivity.xml
-rw-r--r-- 1 root root  227 427 15:30 Remote-Desktop.xml
-rw-r--r-- 1 root root  229 427 15:30 System-Activation.xml
-rw-r--r-- 1 root root  223 427 15:30 Wireless-Projection.xml
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# cp icmp.xml sshport.xml
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# 

image.png

14、编辑sshport.xml文件

root@pdsyw-pc:/etc/kylin-firewall/custom_rules# vi sshport.xml 
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# cat sshport.xml 
<?xml version="1.0" encoding="utf-8"?>
<rule><policy direction="all" action="allow" mode="all" status="on"/><filter program="all" protocol="ssh" local_ip="all" local_ports="all" remote_ip="all" remote_ports="all"/></rule>
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# 

image.png
image.png

15、进入/etc/kylin-firewall/modes路径下

root@pdsyw-pc:/etc/kylin-firewall# 
root@pdsyw-pc:/etc/kylin-firewall# ll
总用量 32
drwxr-xr-x   5 root root  4096 427 15:30 ./
drwxr-xr-x 165 root root 12288 1025 17:00 ../
drwxr-xr-x   2 root root  4096 427 15:30 builtin_rules/
drwxr-xr-x   2 root root  4096 1025 17:00 custom_rules/
-rw-r--r--   1 root root   837 427 15:30 kylin-firewall.conf
drwxr-xr-x   2 root root  4096 427 15:30 modes/
root@pdsyw-pc:/etc/kylin-firewall# pwd
/etc/kylin-firewall
root@pdsyw-pc:/etc/kylin-firewall# cd modes/
root@pdsyw-pc:/etc/kylin-firewall/modes# ll
总用量 16
drwxr-xr-x 2 root root 4096 427 15:30 ./
drwxr-xr-x 5 root root 4096 427 15:30 ../
-rw-r--r-- 1 root root  346 427 15:30 private.xml
-rw-r--r-- 1 root root  214 427 15:30 public.xml
root@pdsyw-pc:/etc/kylin-firewall/modes# 

image.png

16、编辑private.xml文件

root@pdsyw-pc:/etc/kylin-firewall/modes# vi private.xml 
root@pdsyw-pc:/etc/kylin-firewall/modes# cat private.xml 
<?xml version="1.0" encoding="utf-8"?>
<mode inpolicy="deny" outpolicy="allow"><KSC/><rule name="System-Activation"/><rule name="icmp"/><rule name="Default-Rule1"/><rule name="Default-Rule2"/><rule name="Default-Rule3"/><rule name="Wireless-Projection"/><rule name="Kylin-Connectivity"/><rule name="Remote-Desktop"/><rule name="apt-p2p"/><rule name="sshport"/></mode>
root@pdsyw-pc:/etc/kylin-firewall/modes# 

image.png
image.png

17、编辑public.xml文件

root@pdsyw-pc:/etc/kylin-firewall/modes# vi public.xml 
root@pdsyw-pc:/etc/kylin-firewall/modes# cat public.xml 
<?xml version="1.0" encoding="utf-8"?>
<mode inpolicy="deny" outpolicy="allow"><KSC/><rule name="System-Activation"/><rule name="Wireless-Projection"/><rule name="Kylin-Connectivity"/><rule name="apt-p2p"/><rule name="sshport"/></mode>
root@pdsyw-pc:/etc/kylin-firewall/modes# 

image.png
image.png

18、重启系统
image.png

19、安全中心防火墙配置已经自动添加了
image.png

20、使用ssh连接成功

roc@ROC Desktop % ssh pdsyw@10.211.55.49
pdsyw@10.211.55.49's password: 
Welcome to Kylin V10 SP1 (GNU/Linux 5.4.18-85-generic aarch64)

 * Management:     http://www.kylinos.cn/ * Support:        http://www.kylinos.cn/service.aspx
Last login: Wed Oct 25 15:46:22 2023 from 10.211.55.2
pdsyw@pdsyw-pc:~$ 

image.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1140008.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

修改谷歌浏览器标签页名字

1. 背景 在开发过程中&#xff0c;有时我们会对同一个网站打开很多的浏览器标签页&#xff0c;比如 百度首页 页面&#xff0c;用来同时保存多个开发窗口&#xff0c;多个标签页内有不同的内容&#xff0c;但是多个标签页的名称是根据网站自动提取的&#xff0c;完全一样&…

Leetcode. 2866.美丽塔II

要求O&#xff08;N&#xff09;复杂度内解决&#xff0c;考虑单调栈&#xff0c;这个题很像经典的美丽度的那个单调栈的模板题 对有每一个位置&#xff0c;考虑右边能扩展到哪来&#xff1f;不如直接从末尾来倒着看&#xff0c;发现从末尾需要维护一个单调增的单调栈&#xff…

Redis | 数据结构(03)链表

大家最熟悉的数据结构除了数组之外&#xff0c;我相信就是链表了。 Redis 的 List 对象的底层实现之一就是链表。C 语言本身没有链表这个数据结构的&#xff0c;所以 Redis 自己设计了一个链表数据结构。 链表节点结构设计 先来看看「链表节点」结构的样子&#xff1a; type…

nvm下node安装:node环境变量配置

1. 查看所有可安装的版本 nvm list available 2. 查看本地已经安装的所有版本 nvm list 3. 安装&#xff0c;命令中的版本号&#xff08;可指定版本&#xff09; nvm install 16.15.1 4. 使用指定node版本 nvm use 16.15.1 5. 卸载命令 nvm uninstall 16.15.1 6. 查看…

基于Java的蛋糕甜品商店管理系统设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序&#xff08;小蔡coding&#xff09; 代码参考数据库参考源码获取 前言 &#x1f497;博主介绍&#xff1a;✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作者&am…

浅谈安科瑞可编程电测仪表在老挝某项目的应用

摘要&#xff1a;本文介绍了安科瑞多功能电能表在老挝某项目的应用。AMC系列交流多功能仪表是一款专门为电力系统、工矿企业、公用事业和智能建筑用于电力监控而设计的智能电表。 Abstract&#xff1a;This article introduces the application of the multi-function energy …

第二证券:基本面改善预期强化 机构聚焦科技成长

沪指日前迎来“三连涨”。10月26日&#xff0c;上证指数、深证成指和创业板指全部收红&#xff0c;分别收涨0.48%、0.40%、0.65%。此前的两个交易日&#xff0c;上证指数、深证成指也均收涨&#xff0c;创业板指24日涨幅也达到了0.85%。 从近期密布发布的策略报告来看&#xf…

如何解决hadoop文件无法浏览问题“Failed to retrieve data from /webhdfs/v1/?op=LISTSTATUS: Server Error“

搭建好了hadoop环境后&#xff0c;namenode、datanode看着都是正常的。但是当点到browser the file system时&#xff0c;结果报错了&#xff0c;报错的内容是“Failed to retrieve data from /webhdfs/v1/?opLISTSTATUS: Server Error“. 在解决这个问题上&#xff0c;我走了…

车载总线介绍-CAN

车辆内部网络通信是指车辆内部各个电子控制单元&#xff08;ECU&#xff09;之间进行数据传输和通信的过程。现代汽车包含多个ECU&#xff0c;每个ECU负责特定的功能&#xff0c;例如整车控制VCU、发动机控制EMS、制动系统ESC、转向系统EPS、驾驶辅助系统、车身控制系统及空调系…

王道计网:数据链路层

一、导论 将网络层的数据报分组封装成帧。 本质上是数据链路层封装之后&#xff0c;在物理层传输bit流&#xff0c;中间站点又会向上到数据链路层&#xff0c;这是一个实际过程&#xff0c;但是在单独考虑数据链路层时&#xff0c;我们可以忽略经过的物理层&#xff0c;直接认为…

SpringSecurity 认证实战

一. 项目数据准备 1.1 添加依赖 <dependencies><!--spring security--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><!--web起步依赖-…

汽车行驶性能的主观评价方法(2)-驾驶员的任务

人&#xff08;驾驶员&#xff09;-车辆-环境闭环控制系统 驾驶过程中&#xff0c;驾驶员承担着操纵车辆和控制车辆的任务。驾驶员在不知不觉中接受了大量光学、声学和动力学信息并予以评价&#xff0c;同时不断地通过理论值和实际值的比较来完成控制作用&#xff08;图 2.1&a…

信道数据传输速率、信号传播速度——参考《天勤计算机网络》

一、缘起题目 二、解析 三、总结 信道数据传输速率和信号传播速度是两个不同的概念。 3.1 信道数据传输速率&#xff08;Channel Data Transfer Rate&#xff09; 指的是在通信系统中&#xff0c;通过信道传输的数据量&#xff0c;通常以 比特率&#xff08;bits per second…

Web攻防06_sqlmap的使用

文章目录 参考链接&#xff1a; SQLMAP简介支持五种不同的注入模式 数据猜解-库表列数据权限操作引出权限&#xff1a;引出文件&#xff1a;引出命令&#xff08;执行命令&#xff09;&#xff1a; 提交方法-POST&HEAD&JSONPost注入cookie注入注入请求头中&#xff08;…

(1)(1.9) HC-SR04声纳

文章目录 前言 1 连接到自动驾驶仪 2 参数说明 前言 HC-SR04 声纳是一种价格低廉但量程很短&#xff08;最远只有 2m&#xff09;的测距仪&#xff0c;主要设计用于室内&#xff0c;但也成功地在室外的 Copter 上使用过。极短的测距范围使其用途有限。 &#xff01;Warning…

Pinia中如何实现数据持久化操作

使用vue3中的pinia&#xff0c;我们可以在多个页面间共享数据&#xff0c;但是一旦我们关闭或刷新页面&#xff0c;这些数据就会丢失&#xff0c;因此&#xff0c;我们需要有一种数据持久化的解决方案。在记录vue3 使用vue3中的pinia&#xff0c;我们可以在多个页面间共享数据&…

斗罗二:雨浩被言老抛弃,强行开除,首秀十万年魂环,戴华斌下跪

【侵权联系删除】【文/郑尔巴金】 深度爆料&#xff0c;在《斗罗大陆动画第二部绝世唐门》第21集的先行预告中&#xff0c;我们看到霍雨浩的冰帝武魂成功觉醒&#xff0c;他已成功返回史莱克学院。然而&#xff0c;由于迟到&#xff0c;他面临着被开除的处分。钱老趁机算计言少…

使用微PE工具箱制作winU盘启动盘~重装系统

1.准备一个大于8G的U盘&#xff0c;为了保证传输和安装速度请确保U盘的质量。 2.鼠标右键点击U盘&#xff0c;进行格式化&#xff1a; 3.下载微PE工具箱&#xff1a; 微PE工具箱 - 下载 4.安装微PE工具箱&#xff1a;选择安装到U盘 5.选择U盘后&#xff0c;开始安装&#xf…

一文知晓Linux文件权限

&#x1f388;个人主页:&#x1f388; :✨✨✨初阶牛✨✨✨ &#x1f43b;推荐专栏1: &#x1f354;&#x1f35f;&#x1f32f;C语言初阶 &#x1f43b;推荐专栏2: &#x1f354;&#x1f35f;&#x1f32f;C语言进阶 &#x1f511;个人信条: &#x1f335;知行合一 &#x1f…

将多行文本分段编程视频课程教程:中文编程不需英语基础零基础轻松学编程

将多行文本分段编程视频课程教程&#xff1a;中文编程不需英语基础零基础轻松学编程 上图为 中文编程工具界面&#xff0c;菜单和命令全中文&#xff0c;不需英语基础都可以学习。 系统化视频课程教程总目录及明细&#xff0c;可以点击下方链接进入学习 编程系统化课程总目录…