『要不要先整理一下,目前我們完成的項目。』
「要,非常需要,你是要趕火車是不是? 」
『為什麼這樣問? 我已經很慢了...從我的角度來看,我們的時間是靜止的。』
「哎呀,這麼會說,時間靜止時,你都在損我,不覺得有點浪費嗎......」
『就跟妳說...如果妳會用nmap,妳會用sqlmap, wpscan和aircrack-ng…妳會很多工具。
結果,妳不知道要去那查log、不知道怎麼設定開關機時的服務...不知道如何確認系統狀態,資訊長,妳會不會覺得什麼地方怪怪的?』
「我又不是要做駭客,我知道那些工具怎麼用要做什麼?」
『是啊,沒錯,妳不需要會用那些工具。
但是,請問,妳要如何確認,妳們那些監控產品,通報的內容是正常、異常、例外或反常?
這個世界上,目前,所有的預防和阻擋機制,都是針對已知的行為、關鍵字、IP和PORT,但現在這年代,有很多資安事件,都是從未發現過的未知,資安要落實在生活的每一天啊,資訊長不了解一下,又要怎麼預防或檢查呢?』
「這個......反正...我又不是資安部的...,再說,要講我也講不過你,要唬爛你是大神級的唬爛王,我才不想理你...要整理是吧? 來吧,那就請你告訴我...」
『上次給妳看那個,CentOS 重新開機時,自動發訊息到LINE,根本上來說就是,為什麼我的帳號sudo後,可以執行reboot?』
「為什麼...因為愛...因為sudo該設定,但我沒有設定,不要問我在那裡設定...我不想再跑龍山寺了,你直接說吧。」
『Visual Studio知道嗎?』
「好笑...好歹我也做過AP開發,我會不知道? 但我不知道,是要用Visual Studio設定耶...」
.............眼前這個人,如果不是Asuka,我可能早就翻桌了。
『因為 sudo 的設定檔,不能直接編輯存取,所以要用visudo...用這個指令,去修改sudo的設定檔,只是正好,Visual Studio 和 visudo很像,所以才問妳那個問題。』
「我覺得,你講事情時,廢話如果少一點,我會更開心一點。」
『好吧,那妳直接看畫面,讓妳開心一點,我就不廢話了...』
「自己看就自已看...哼哼,我也是有進步的...」
『那再來,請問,到現在,目前為止...妳有沒有覺得,妳的CentOS少了什麼應該要有,但還沒有的...』
「我那台CentOS上面有
ssh
xrdp
apache+mod_security
wordpress
MariaDB
PHPMyAdmin
Allen先生,你說還少了什麼嗎? 」
......
「你不要像個宅叔一樣看著我啦...我知道了,防火牆,對不對? CentOS上有防火牆,我沒有起動。」
『是啊...妳終於想到啦。』
「不是你在教我嗎?」
『我也只是和妳討論,我那有資格教妳啊,總之,把防火牆起動吧。』
.........
『妳不要像個空氣一樣坐在那啊...資訊長,咖啡要涼啦。』
「你這個人怎麼這樣,你都講那麼多了,再講一下,防火牆啦...我喝咖啡聽你講啦......」
『fire...突然想到美國隊長轉職之前的驚奇四超人,都會先喊一下fire...然後全身就都是火了...妳不覺得我現在全身都是不平等之火嗎?』
「不平等? 大叔,人類社會裡,唯一平等的事情,就是不平等。你不知道嗎? 我的職位比你高,我坐在這喝咖啡,你在那想盡辨法處理問題,這是很平等的事情,那裡不平等了?」
她是怎樣? 算了算了...
『firewalld...CentOS 7之後,新配置上去的防火牆,原來的那個什麼table的,就不用了。』
「哦...然後呢?」
『然後,因為firewalld 也是一個 unit,所以受systemd管理,用systemctl控制 起動、停止和開機時起動與否。』
「你看,這種超級難理解像咒文一樣的晶晶體, 你想都不想用,一句話就講完了,關於firewalld的控制描述,我再喝十杯咖啡,也沒辦法像你講成那樣子,你說,這那裡平等了?」
『因為妳寧願喝咖啡,也不願意多看firewalld一眼啊。』
「你真的很討厭,一定要這樣拆穿女孩子嗎? 我是女生耶...」
『我知道啊,妳還能坐在這喝咖啡,而不是在醫院掛急診,不是嗎?』
「哎唷...防火牆的設定概念,介紹一下吧。」
| 指令 | 描述 |
|---|---|
| systemctl start firewalld | 起動防火牆 |
| systemctl stop firewalld | 停止防火牆 |
| systemctl enable firewalld | 防火牆設定為開機時起動 |
| systemctl disable firewalld | 防火牆設定為開機時不起動 |
| systemctl status firewalld | 查看防火牆目前狀態 |
『這妳應該都會了吧? 管它什麼unit,就那四個指令。』
「是啊,沒有很難耶...就這樣嗎?」
她確定要坐在那看戲就是了。
『然後,firewalld 的概念就是擋三.........擋IP、擋PORT、擋服務。』
「我說,你剛是不是差點要說出某個字啊?」
『沒有吧? 那個字? 不要一直中斷我。』
| 指令 | 效果 |
|---|---|
| firewall-cmd --zone=plublic --add-port=3389/tcp --permanent | 允許tcp 3389port,永久有效 |
| firewall-cmd --list-port | 查看已開起的port |
| firrewall-cmd --zone=plublic --remove-port=3389/tcp --permanent | 移除允許的tcp 3389port,永久有效 |
| firewall-cmd --zone=public --add-service=http --permanent | 允許http服務,永久有效 |
| firewall-cmd --zone=public --add-service=https --permanent | 允許https服務,永久有效 |
| firewall-cmd --zone=public --list-all | 列出 public 區域中所有的設定 |
『簡單來說,大概就是這樣吧,其它的,請資訊長,出張嘴,就有十萬大軍會幫妳完成了。』
「你這人會不會太酸?」
『對有十萬大軍的資訊長來說...那會酸?』
「好啦......再來呢?」
『還剩一樣哦...妳上次寫的SIEMENS...西門子,不過西門子要講什麼? 我可能比較熟Ericsson...不是Sony Ericsson是Ericsson。』
碰的一聲,Asuka又甩門離開了她的辦公室...明明是她寫的SIEMENS..........我又錯了嗎?
(待)
2019/09/29 SunAllen
iThome鐵人賽
看影片追技術