Linux_红帽8学习笔记分享_10(SELinux管理与防火墙)

1.Linux系统的安全机制

1.1 Filesystem

Filesystem: chmod(用于修改九位权限)chown(改变对象的所有者和所属组), setfacl(设置特殊用户的特殊权限)

1.2 Service

:vim /etc/*.conf(该服务对应的底层配置文件)

1.3 Firewall

firewall-cmd …(对防火墙进行打开关闭，查看其状态)

1.4 SELinux

它是高级防火墙，vim /etc/selinux/config(fcontext,port,setsebool)

2.SElinux理论概述

SElinux全称是Security Enhanced Linux，它是由美国国家安全局(NSA:National Security Agency)开发，为了避免资源误用而设计的，额外的系统安全层它由一系列的规则组成，决定了哪些进程可以访问哪些文件、目录和端口。每个文件、进程和端口都具有特别的安全标签，称为SElinux的安全上下文。在默认情况下SElinux是开启状态。

3.SElinux的配置文件

vim /etc/selinux/config，该文件就是它的配置文件

3.1 SELINUX参数

用SELINUX=enforcing 来设置SELINUX的状态（或工作模式）

enforcing-强制开启的状态，即监控也干预（如果fcontext不一致，则不允许访问）；permissive-允许（警告），即只监控，不干预；disabled –将它直接关闭运行

3.2 SELINUXTYPE参数

SELINUXTYPE=targeted来设置SELINUX对系统的管理范围,一般不进行设置

targeted -对大部分网络服务进行管制,缺省值；minimum -仅对选定的网络服务进行管制,一般不使用；mls -多级别安全,它会对Linux系统中所有的选项生效,会占用

4.查看和设置SElinux工作模式的方法

4.1查看SElinux工作模式

使用getenforce命令来查看

我的物理机的SELinux是开启的，如下图所示。

我们将它更改为允许运行状态，如下图所示。

我们可以看到servera默认状况下是强制开启的的

4.2设置SElinux工作模式

4.2.1使用命令方式修改(仅本次有效，重启无效)

具体操作如下图所示。

setenforce 0 就是设置SELinux为允许运行状态

setenforce 1 就是设置SELinux为强制运行状态

4.2.2去修改配置文件 /etc/selinux/config（是一个永久生效的方法）

我们将其状态从enforcing改为permissive，如下图所示

在编写完成，之后我们需要将servera进行一下重启，重启登录上servera之后，我们查看其状态，发现成功从enforcing改为了permissive，如下图所示。

5.服务器防火墙

RHEL7之前防火墙使用的是iptables, RHEL8对其进行了升级，使用的是firewalld不管是iptables,还是firewalled,都是借助于Linux内核中包含的netfilter组件。

我们可以使用systemctl status firewalld.service 来查看防火墙状态，如下图所示，看到servera上的防火墙默认是开启的running

我们可以使用systemctl stop firewalld.service 来关闭防火墙，如下图所示。

我们可以使用systemctl start firewalld.service 来打开防火墙，如下图所示。

我们可以使用systemctl start firewalld.service 来先关闭防火墙再打开防火墙，它最终的状态是开启的，如下图所示。

我们可以使用systemctl enable firewalld.service 来设置防火墙为开机自启动，如下图所示。

---

以上就是本文全部内容，如果它对您有帮助，请您帮我点个赞，这对我真的很重要