首页 > 其他分享 >麒麟KYLINOS通过命令行配置kysec的防火墙

麒麟KYLINOS通过命令行配置kysec的防火墙

时间:2023-10-26 21:04:32浏览次数:51  
标签:kylin etc 防火墙 pdsyw KYLINOS pc ssh kysec root

往期文章:麒麟KYLINOS上使用开始菜单图标开启或关闭vnc

hello,大家好啊,今天给大家带来一篇使用命令行配置kysec的防火墙的文章,通过本篇文章的学习,大家可以了解到图形化界面中的防火墙信息是如何生成的,为后期我们将防火墙的相关配置放入到定制镜像中做准备。首先给大家演示在图形化界面上该怎么操作,然后对应的操作如何利用命令行界面完成。


1、查看麒麟系统信息

pdsyw@pdsyw-pc:~/桌面$ cat /etc/.kyinfo 
[dist]
name=Kylin
milestone=Desktop-V10-SP1-General-Release-2303
arch=arm64
beta=False
time=2023-04-27 15:46:53
dist_id=Kylin-Desktop-V10-SP1-General-Release-2303-arm64-2023-04-27 15:46:53

[servicekey]
key=0516013

[os]
to=
term=2024-08-01

pdsyw@pdsyw-pc:~/桌面$

麒麟KYLINOS通过命令行配置kysec的防火墙_xml


2、安装ssh

root@pdsyw-pc:~# apt install ssh -y
正在读取软件包列表... 完成
正在分析软件包的依赖关系树       
正在读取状态信息... 完成       
下列软件包是自动安装的并且现在不需要了:
  archdetect-deb dmeventd libaio1 libdebian-installer4
  libdevmapper-event1.02.1 liblvm2cmd2.03 localechooser-data lvm2 user-setup
使用'apt autoremove'来卸载它(它们)。
将会同时安装下列软件:
  ncurses-term openssh-server openssh-sftp-server ssh-import-id
建议安装:
  molly-guard monkeysphere ssh-askpass ufw
下列【新】软件包将被安装:
  ncurses-term openssh-server openssh-sftp-server ssh ssh-import-id
升级了 0 个软件包,新安装了 5 个软件包,要卸载 0 个软件包,有 16 个软件包未被升级。
需要下载 1,030 kB 的归档。
解压缩后会消耗 6,097 kB 的额外空间。
获取:1 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1-2303-updates/main arm64 openssh-sftp-server arm64 1:8.2p1-4kylin3k0.3 [50.1 kB]
获取:2 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1-2303-updates/main arm64 openssh-server arm64 1:8.2p1-4kylin3k0.3 [357 kB]
获取:3 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1-2303-updates/main arm64 ssh all 1:8.2p1-4kylin3k0.3 [105 kB]
获取:4 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1/main arm64 ncurses-term all 6.2-0kylin2 [501 kB]
获取:5 http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1/main arm64 ssh-import-id all 5.10-0kylin1 [17.2 kB]
已下载 1,030 kB,耗时 1秒 (1,489 kB/s)   
正在预设定软件包 ...
正在选中未选择的软件包 openssh-sftp-server。
(正在读取数据库 ... 系统当前共安装有 191610 个文件和目录。)
准备解压 .../openssh-sftp-server_1%3a8.2p1-4kylin3k0.3_arm64.deb  ...
正在解压 openssh-sftp-server (1:8.2p1-4kylin3k0.3) ...
正在选中未选择的软件包 openssh-server。
准备解压 .../openssh-server_1%3a8.2p1-4kylin3k0.3_arm64.deb  ...
正在解压 openssh-server (1:8.2p1-4kylin3k0.3) ...
正在选中未选择的软件包 ssh。
准备解压 .../ssh_1%3a8.2p1-4kylin3k0.3_all.deb  ...
正在解压 ssh (1:8.2p1-4kylin3k0.3) ...
正在选中未选择的软件包 ncurses-term。
准备解压 .../ncurses-term_6.2-0kylin2_all.deb  ...
正在解压 ncurses-term (6.2-0kylin2) ...
正在选中未选择的软件包 ssh-import-id。
准备解压 .../ssh-import-id_5.10-0kylin1_all.deb  ...
正在解压 ssh-import-id (5.10-0kylin1) ...
正在设置 openssh-sftp-server (1:8.2p1-4kylin3k0.3) ...
正在设置 openssh-server (1:8.2p1-4kylin3k0.3) ...

Creating config file /etc/ssh/sshd_config with new version
Creating SSH2 RSA key; this may take some time ...
3072 SHA256:KGiMMxfVed8XFMfJDAgboVL3LT/WWfU8szRWwe0IzuA root@pdsyw-pc (RSA)
Creating SSH2 ECDSA key; this may take some time ...
256 SHA256:NMxxVNmzCAP21CttTPR2jljmf8dxfLAoo25PJ7/f7Jw root@pdsyw-pc (ECDSA)
Creating SSH2 ED25519 key; this may take some time ...
256 SHA256:9MM0et35Ll8U28DnUbrDx0NR8LjQ81qgNFPCJodEjfE root@pdsyw-pc (ED25519)
Created symlink /etc/systemd/system/sshd.service → /lib/systemd/system/ssh.servi
ce.
Created symlink /etc/systemd/system/multi-user.target.wants/ssh.service → /lib/s
ystemd/system/ssh.service.
rescue-ssh.target is a disabled or a static unit, not starting it.
正在设置 ssh-import-id (5.10-0kylin1) ...
Attempting to convert /etc/ssh/ssh_import_id
正在设置 ncurses-term (6.2-0kylin2) ...
正在设置 ssh (1:8.2p1-4kylin3k0.3) ...
正在处理用于 man-db (2.9.1-1kylin0k1) 的触发器 ...
正在处理用于 systemd (245.4-4kylin3.15k0.26) 的触发器 ...
root@pdsyw-pc:~#

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_02


3、查看shh服务状态

root@pdsyw-pc:~# systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: e>
     Active: active (running) since Wed 2023-10-25 16:58:06 CST; 23s ago
       Docs: man:sshd(8)
             man:sshd_config(5)
   Main PID: 10573 (sshd)
      Tasks: 1 (limit: 9420)
     Memory: 1.2M
     CGroup: /system.slice/ssh.service
             └─10573 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

10月 25 16:58:06 pdsyw-pc systemd[1]: Starting OpenBSD Secure Shell server...
10月 25 16:58:06 pdsyw-pc sshd[10573]: Server listening on 0.0.0.0 port 22.
10月 25 16:58:06 pdsyw-pc sshd[10573]: Server listening on :: port 22.
10月 25 16:58:06 pdsyw-pc systemd[1]: Started OpenBSD Secure Shell server.
root@pdsyw-pc:~#

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_03


4、查看IP地址

root@pdsyw-pc:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:1c:42:3b:79:c8 brd ff:ff:ff:ff:ff:ff
    inet 10.211.55.49/24 brd 10.211.55.255 scope global dynamic noprefixroute enp0s5
       valid_lft 1564sec preferred_lft 1564sec
    inet6 fdb2:2c26:f4e4:0:e583:5d78:f1b6:d339/64 scope global temporary dynamic 
       valid_lft 604445sec preferred_lft 85893sec
    inet6 fdb2:2c26:f4e4:0:70f4:6b68:3f20:cd70/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 2591920sec preferred_lft 604720sec
    inet6 fe80::3aa3:f428:7b8:728/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/sit 0.0.0.0 brd 0.0.0.0
4: ip6tnl0@NONE: <NOARP> mtu 1452 qdisc noop state DOWN group default qlen 1000
    link/tunnel6 :: brd ::
root@pdsyw-pc:~#

麒麟KYLINOS通过命令行配置kysec的防火墙_uos_04


5、使用远程连接,发现连接失败

Last login: Wed Oct 25 15:19:17 on ttys001
roc@ROC ~ % ssh [email protected]
ssh: connect to host 10.211.55.49 port 22: Connection refused
roc@ROC ~ %

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_05


6、点击安全中心高级配置

麒麟KYLINOS通过命令行配置kysec的防火墙_xml_06


7、添加22端口放开的防火墙

麒麟KYLINOS通过命令行配置kysec的防火墙_uos_07


8、22端口放行

麒麟KYLINOS通过命令行配置kysec的防火墙_linux_08


9、使用ssh连接成功

roc@ROC ~ % ssh [email protected]    
The authenticity of host '10.211.55.49 (10.211.55.49)' can't be established.
ED25519 key fingerprint is SHA256:txRKtgIJRu8kLSoI6AfI3mM5f3Ufb9BL+njSlgrAkfk.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.211.55.49' (ED25519) to the list of known hosts.
[email protected]'s password: 
Welcome to Kylin V10 SP1 (GNU/Linux 5.4.18-85-generic aarch64)

 * Management:     http://www.kylinos.cn/ * Support:        http://www.kylinos.cn/service.aspx
pdsyw@pdsyw-pc:~$

麒麟KYLINOS通过命令行配置kysec的防火墙_xml_09


10、删除防火墙配置

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_10


11、再次使用ssh连接,发现连接失败

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_11


12、进入/etc/kylin-firewall/路径

pdsyw@pdsyw-pc:~/桌面$ sudo -i
root@pdsyw-pc:~# cd /etc/kylin-firewall/
root@pdsyw-pc:/etc/kylin-firewall# ll
总用量 32
drwxr-xr-x   5 root root  4096 4月  27 15:30 ./
drwxr-xr-x 165 root root 12288 10月 25 16:58 ../
drwxr-xr-x   2 root root  4096 4月  27 15:30 builtin_rules/
drwxr-xr-x   2 root root  4096 4月  27 15:30 custom_rules/
-rw-r--r--   1 root root   837 4月  27 15:30 kylin-firewall.conf
drwxr-xr-x   2 root root  4096 4月  27 15:30 modes/
root@pdsyw-pc:/etc/kylin-firewall#

麒麟KYLINOS通过命令行配置kysec的防火墙_uos_12


13、进入 custom_rules/下拷贝icmp.xml为sshport.xml

root@pdsyw-pc:/etc/kylin-firewall# cd custom_rules/
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# ll
总用量 44
drwxr-xr-x 2 root root 4096 4月  27 15:30 ./
drwxr-xr-x 5 root root 4096 4月  27 15:30 ../
-rw-r--r-- 1 root root  223 4月  27 15:30 apt-p2p.xml
-rw-r--r-- 1 root root  286 4月  27 15:30 Default-Rule1.xml
-rw-r--r-- 1 root root  273 4月  27 15:30 Default-Rule2.xml
-rw-r--r-- 1 root root  235 4月  27 15:30 Default-Rule3.xml
-rw-r--r-- 1 root root  227 4月  27 15:30 icmp.xml
-rw-r--r-- 1 root root  248 4月  27 15:30 Kylin-Connectivity.xml
-rw-r--r-- 1 root root  227 4月  27 15:30 Remote-Desktop.xml
-rw-r--r-- 1 root root  229 4月  27 15:30 System-Activation.xml
-rw-r--r-- 1 root root  223 4月  27 15:30 Wireless-Projection.xml
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# cp icmp.xml sshport.xml
root@pdsyw-pc:/etc/kylin-firewall/custom_rules#

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_13


14、编辑sshport.xml文件

root@pdsyw-pc:/etc/kylin-firewall/custom_rules# vi sshport.xml 
root@pdsyw-pc:/etc/kylin-firewall/custom_rules# cat sshport.xml 
<?xml version="1.0" encoding="utf-8"?>
<rule><policy direction="all" action="allow" mode="all" status="on"/><filter program="all" protocol="ssh" local_ip="all" local_ports="all" remote_ip="all" remote_ports="all"/></rule>
root@pdsyw-pc:/etc/kylin-firewall/custom_rules#

麒麟KYLINOS通过命令行配置kysec的防火墙_uos_14

麒麟KYLINOS通过命令行配置kysec的防火墙_hive_15


15、进入/etc/kylin-firewall/modes路径下

root@pdsyw-pc:/etc/kylin-firewall# 
root@pdsyw-pc:/etc/kylin-firewall# ll
总用量 32
drwxr-xr-x   5 root root  4096 4月  27 15:30 ./
drwxr-xr-x 165 root root 12288 10月 25 17:00 ../
drwxr-xr-x   2 root root  4096 4月  27 15:30 builtin_rules/
drwxr-xr-x   2 root root  4096 10月 25 17:00 custom_rules/
-rw-r--r--   1 root root   837 4月  27 15:30 kylin-firewall.conf
drwxr-xr-x   2 root root  4096 4月  27 15:30 modes/
root@pdsyw-pc:/etc/kylin-firewall# pwd
/etc/kylin-firewall
root@pdsyw-pc:/etc/kylin-firewall# cd modes/
root@pdsyw-pc:/etc/kylin-firewall/modes# ll
总用量 16
drwxr-xr-x 2 root root 4096 4月  27 15:30 ./
drwxr-xr-x 5 root root 4096 4月  27 15:30 ../
-rw-r--r-- 1 root root  346 4月  27 15:30 private.xml
-rw-r--r-- 1 root root  214 4月  27 15:30 public.xml
root@pdsyw-pc:/etc/kylin-firewall/modes#

麒麟KYLINOS通过命令行配置kysec的防火墙_linux_16


16、编辑private.xml文件

root@pdsyw-pc:/etc/kylin-firewall/modes# vi private.xml 
root@pdsyw-pc:/etc/kylin-firewall/modes# cat private.xml 
<?xml version="1.0" encoding="utf-8"?>
<mode inpolicy="deny" outpolicy="allow"><KSC/><rule name="System-Activation"/><rule name="icmp"/><rule name="Default-Rule1"/><rule name="Default-Rule2"/><rule name="Default-Rule3"/><rule name="Wireless-Projection"/><rule name="Kylin-Connectivity"/><rule name="Remote-Desktop"/><rule name="apt-p2p"/><rule name="sshport"/></mode>
root@pdsyw-pc:/etc/kylin-firewall/modes#

麒麟KYLINOS通过命令行配置kysec的防火墙_hive_17

麒麟KYLINOS通过命令行配置kysec的防火墙_linux_18



17、编辑public.xml文件

root@pdsyw-pc:/etc/kylin-firewall/modes# vi public.xml 
root@pdsyw-pc:/etc/kylin-firewall/modes# cat public.xml 
<?xml version="1.0" encoding="utf-8"?>
<mode inpolicy="deny" outpolicy="allow"><KSC/><rule name="System-Activation"/><rule name="Wireless-Projection"/><rule name="Kylin-Connectivity"/><rule name="apt-p2p"/><rule name="sshport"/></mode>
root@pdsyw-pc:/etc/kylin-firewall/modes#

麒麟KYLINOS通过命令行配置kysec的防火墙_uos_19

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_20


18、重启系统

麒麟KYLINOS通过命令行配置kysec的防火墙_kylin_21


19、安全中心防火墙配置已经自动添加了

麒麟KYLINOS通过命令行配置kysec的防火墙_uos_22


20、使用ssh连接成功

roc@ROC Desktop % ssh [email protected]
[email protected]'s password: 
Welcome to Kylin V10 SP1 (GNU/Linux 5.4.18-85-generic aarch64)

 * Management:     http://www.kylinos.cn/ * Support:        http://www.kylinos.cn/service.aspx
Last login: Wed Oct 25 15:46:22 2023 from 10.211.55.2
pdsyw@pdsyw-pc:~$

麒麟KYLINOS通过命令行配置kysec的防火墙_hive_23





标签:kylin,etc,防火墙,pdsyw,KYLINOS,pc,ssh,kysec,root
From: https://blog.51cto.com/pengds/8042656

相关文章

  • CentOS7 设置防火墙操作、开放指定端口操作
    CentOS7设置防火墙操作、开放指定端口操作1,查看防火墙状态:firewall-cmd--statesystemctlstatusfirewalld.service2,开启防火墙:systemctlstartfirewalld.service(注意:开放防火墙后需要重启防火墙:firewall-cmd--reload)3,设置开机自启:systemctlenablefirewalld.servic......
  • 麒麟KYLINOS上使用开始菜单图标开启或关闭vnc
    往期文章:麒麟KYLINOS桌面操作系统2303上安装tigervnchello,大家好啊,今天给大家带来第二篇在麒麟KYLINOS上安装部署vnc的文章,本篇文章讲述了如何将vnc的开启及关闭做成图标展示在开始菜单,并且设置当第一次启动vnc的时候设置默认的vnc密码,可以通过点击图标开启vnc及关闭vnc。1、编辑st......
  • 麒麟KYLINOS桌面操作系统2303上安装tigervnc
    好文推荐:统信UOS或者麒麟KYLINOS上软件包有未满足的依赖关系怎么办hello,大家好啊,今天给大家带来在麒麟桌面操作系统2303上安装tigervnc的文章,本篇文章给大家讲述如何安装并且远程连接使用,后面会给大家更新如何将tigervnc做成桌面图标点击即可开启及关闭,欢迎大家浏览分享转发。1、查......
  • linux防火墙
    #关闭防火墙systemctlstopfirewalld#查看防火墙状态systemctlstatusfirewalld查看已开放的端口firewall-cmd--list-ports开放端口(开放后需要要重载防火墙才生效)firewall-cmd--zone=public--add-port=3338/tcp--permanent关闭端口(关闭后需要要重载防火墙才生效......
  • Linux防火墙相关操作
    小工具:在线检测域名或者ip的端口是否开放端口扫描  http://coolaf.com/tool/portLinux防火墙相关操作1、安装firewalld在CentOS7中默认是安装的。CentOS7还支持以图形界面的方式配置防火墙,即firewall-config工具,默认也是安装的。安装firewalld和firewall-config工具[root@local......
  • ubuntu 防火墙命令
    #防火墙状态,如果输出显示Status:inactive,表示UFW处于禁用状态sudoufwstatus#关闭防火墙sudoufwdisable#启动防火墙sudoufwenable#设置防火墙默认策略的命令,将所有出站连接允许通过防火墙sudoufwdefaultallowoutgoing#设置防火墙默认策略的命令,将所......
  • 防火墙命令学习笔记
    标准IP访问表和扩展IP访问表,区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行标准IP防火墙标准访问控制规则格式:access-listlist-number{denylpermit}source[source-wildcard][log]而扩展IP访问控制规则的格式是:access-lis1ist-number{denylper......
  • 华为防火墙通过console线重置账号密码
    通过BootLoader(引导加载程序)方式重置账号密码1、通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“PressCtrl+Btobreakautostartup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单(盈浦.64防火墙设置的为Huawei,缺省情况下,BootLoader密......
  • 华为防火墙统计丢包数据流
    <HUAWEI>system-view[HUAWEI]acl3999 [HUAWEI-acl-adv-3999]rule5permitipsource100.1.4.10destination111.1.4.1 0   //定义丢包统计数据流 [HUAWEI-acl-adv-3999]rule10permitipsource111.1.4.10destination100.1.4.1 0   //定义丢包......
  • 统信系统UOS或者麒麟KYLINOS安装软件有未满足的依赖关系怎么办?
    往期文章:统信UOS或者KYLINOS上无交互安装Citrixhello,大叫好啊,今天给大家介绍在统信UOS或者麒麟KYLINOS上安装软件包时有未满足的依赖关系该怎么处理的文章,欢迎大家关注一下我哦,关于信创的相关内容,会一直给大家分享的哦。1、安装curl软件,报有未能满足的依赖关系pdsyw@pdsyw-PC:~/Des......