20年IT從業，二哥的團隊使用最多的系統就是Linux，開發，運維的小伙伴們都離不開Linux系統，特別是大數據和人工智能領域更是如此，但由于日常工作忙，小伙伴們沒有太多成塊的時間系統的學習Linux, 并且現版CentOS7/RHEL7系統跟原來的CentOS6/RHEL6有了比較大的差別，所以我們就萌生了居于新版的CentOS7寫一個每天五分鐘學習Linux的主題，讓更多小伙伴們能夠每天在地鐵上，公交車里利用5分鐘的碎片時間學習一下Linux知識，以便更好的服務工作，如果能夠幫你提高工作效率，是我們的愿望。

這里沒有太多理論的東西，我們我講到的知識點都是多年來我們實際工作中要經常要用到東西,今天的五分鐘主題是“Linux系統安全配置”。

先補充一個知識點“系統狀態保存”

這是很實用的一個小技巧，假設你正在學習Linux系統，現在已經是晚上23點了，你需要去休息了，但你又有很多事情沒有做完明天得繼續，那么如何保存目前系統的所有狀態以便下次開機的時候恢復到目前的系統狀態呢？有一個很簡單的命令可以做到

systemctl hibernate

這個命令不止能幫你把系統狀態保存，并且保存完成后幫你關機到Power-off狀態, 下次你開機的時候系統就會恢復到關機前的狀態，包括打開的應用和文件。

Linux系統安全配置

所謂的安全，就是要保護你的系統免受外來的不當侵害，我們最常用的保護技術就是防火墻，下面我們就說說Linux下的防火墻使用。selinux也是一種很好安全措施，但是日常工作中使用到的場合稍微少一些，我們會留到這個系列的最后再討論。

Centos7的防火墻用firewalld 替代原來的iptables, 實際上它們是兼容iptables, 并且你可以使用firewall的相關命令來管理iptables, 我們現在看一張圖。

firewall還是用到iptables的相關命令去調用底層的netfilter，為了照顧到centos6及以前的系統(目前還是有相當多公司在使用)，我們在這里兩種都說一下，你可以選擇使用iptables或者新版的firewall作為安全設置，在這里提醒大家不要去手工修改iptables和firewall的配置文件，使用命令行工具或者tui工具修改，如果你安裝了圖形界面也可以使用gui工具修改，但多數情況下Linux服務器是不會安裝gui界面的，這里重點介紹兩種方法，一是命令行直接修改二是tui修改，具體如下

先安裝一下所需工具

yum install firewall-configyum install system-config-firewall

新版firewall命令行下的配置修改方法

查看我們現在的防火墻設定里面允許了哪些服務通過

firewall-cmd --list-services

然后我們增加一個允許通過的條目, 如果不能準確的記住要增加的服務名稱的拼寫，不要緊的，使用firewall-cmd --get-services列出來看一下就都知道了。

• 添加刪除服務

firewall-cmd --add-service=ftp --zone=public

這個命令是將tftp這個服務添加到防火墻的允許條目里面去，但這是臨時起效的，重啟系統或服務會丟失，需要永久起效要這樣做：

firewall-cmd --permanent --add-service=tftp --zone=public

--reload一下使它生效，這樣我們就看到tftp這個service被添加到防火墻的允許列表里面了。

如果想要刪除它，就這樣做：

firewall-cmd --permanent --remove-service=tftp --zone=public

這里有必要說一下這個zone,就是指約束域約束范圍的意思，--zone=public是指所有人所有機器都可以訪問的意思，還有其他的zone，我們可以用 firewall-cmd --get-zones 獲取所有，一般情況下，系統會默認幫我們建有這么幾個zones: block dmz drop external home internal public trusted work, 直接使用就是了。

現在假設我們要在trusted這個zone里面添加一臺主機192.168.2.100,以便這臺主機獲得你賦予這個約束域的所有訪問權限(即通過防火墻的權限)，做法如下：

firewall-cmd --permanent --zone=trusted --add-service=httpfirewall-cmd --permanent --zone=trusted --add-source=192.168.2.100

這樣這臺機器就擁有了你賦予給trusted這個zone的所有權限，它現在擁有http的訪問權限，以后無論哪臺機器加入都這個zone都會獲得同樣的權限，反過來，以后無論你往這個zone里面添加任何的services, 所有該zone里面的主機都會獲得同樣的權限。

要刪除它就把--add變成--remove就可以了。

firewall-cmd --permanent --zone=trusted --remove-source=192.168.2.100

• 添加刪除一個端口

如果我們只想開放一個端口，但卻先不要綁定一個系統服務，而是打開這個端口給某一個我們自定義的應用使用，做法跟上面差不多只是命令：

firewall-cmd --permanent --add-port=50070/tcp

• 傳統的iptables防火墻配置(tui)

yum install system-config-firewall

然后命令行下打入system-config-firewall，出來tui界面

systemctl stop firewalldsystem-config-firewall-tui

這個就比較簡單，所見即所得，想要啟用那個服務就在定制里面直接勾選就可以了，想要打開端口就使用“轉發”=>“添加”即可。

看看手機，五分鐘差不多了，今天就到這里。

你有沒有get到一些東西呢！一節我們將繼續講講如何配置使用安全的Linux遠程訪問及如何遠程自動執行命，這對開發和系統管理來說是非常有用的。也可以點擊文章標題處的“關注”加關注我們的頭條號以便需要時查看，我們會一兩天更新一篇圖文上來。

我們歡迎大家多給一些“不成熟的小建議”，謝謝各位閱讀！下一節再見，拜~

總結

以上是生活随笔為你收集整理的linux 查看防火墙状态_每天五分钟学习Linux系列之 - 系统安全配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。