linux的SELinux的设置及防火墙服的设置

Posted 2020-10-14

      security-Enhanced  linux

  美国NSA国家局主导开发，一套增强Linux系统安全的强制访问控制体系，

  集成到Linux内核（2.6及以上）中运行。

  RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略，

  以及管理工具。

  

     SELinux的运行模式

     enforcing(强制)

     permissive（宽松）

     disabled（彻底禁用）

     getenforce 查看当前SElinux状态

     setenforce  0 或 1  设置当前SELinux状态

    

   永久配置：vim /etc/selinux/config

             SELINUX=premissive

           

    防火墙策略管理（Firewall）

    作用: 隔离

    阻止进内网，允许出外网

    系统服务器：firewalld

    管理工具：  firewall-cmd(命令)

                firewall-cmd（图形）

    

    查看防火墙服务状态 

     systemctl   status   firewalld.service

     

    根据所在的网络场所区分，预设保护规则集。

      public：仅允许访问本机的sshd等少数几个服务。

      trusted:允许任何访问。

      block:拒绝任何来访请求。

      drop:丢弃任何来访的数据。

     

     防火墙判断的规则：匹配及停止。

      1.首先看请求（客户端）当中的源IP地址，所有区域中是否有

     对于该IP地址的策略，如果有则该请求进入该区域。

      2.直接进入默认区域。

      

     firewall-cmd  --zone=public  --list-all   查看区域规则信息

     firewall-cmd  --zone=public  --add-service=http  添加服务

     --permanent 选项：实现永久设置

     firewall-cmd  --permanent  --zone=public  --add-service=ftp 

     firewall-cmd  --reload         重新加载防火墙   

     

     修改默认的区域，不需要加上--permanent

     firewall-cmd  --set-default-zone=block   修改默认区域

     firewall-cmd  --get-default-zone         查看默认区域

     实现本机的端口映射

     本地应用的端口重定向（端口1---》端口2）

     从客户机访问端口1的请求，自动映射到本机端口2。

  例：访问两个地址可以看到相同的页面

      firefox http://172.25.0.11:5423--->172.25.0.11:80

      firewall-cmd --permanent  --zone=public

       --add-forward-port=port=5423:proto=tcp:toport=80

      firewall-cmd  --reloa