做PPT素材图片网站 知乎,协会网站建设,网展企业网站系统 免费,厦门网页设计代做selinux#xff08;强化的linux#xff09;
传统的文件权限与账号的关系#xff1a;自主访问控制#xff0c;DAC#xff1b;
以策略规则制定特定程序读取特定文件#xff1a;强制访问控制#xff0c;MAC
SELinux是通过MAC的方式来控制管理进程#xff0c;它控制的主…selinux强化的linux
传统的文件权限与账号的关系自主访问控制DAC
以策略规则制定特定程序读取特定文件强制访问控制MAC
SELinux是通过MAC的方式来控制管理进程它控制的主体是进程
主体subject就是进程
目标object被主体访问的资源可以是文件、目录、端口等。
策略policy由于进程与文件数量庞大因此SELinux会依据某些服务来制定基本的访问安全策略。
目前主要的策略有
targeted针对网络服务限制较多针对本机限制较少是默认的策略
strict完整的SELinux限制限制方面较为严格
安全上下文security context主体能不能访问目标除了策略指定外主体与目标的安全上下文必须 一致才能够顺利访问。
安全上下文用冒号分为四个字段 identify:role:type: 身份标识Identify相当于账号方面的身份标识 角色role通过角色字段可知道这个数据是属于程序、文件资源还是代表用户 类型type在默认的targeted策略中Identify与role字段基本上是不重要的重要的在于这 个类型字段。 最后一个字段是和MLS和MCS相关的东西代表灵敏度一般用s0、s1、s2来命名数字代表灵敏 度的分级。数值越大、灵敏度越高。 selinux有三种模式 enforcing强制模式代表SELinux正在运行中开始限制domain/type permissive宽容模式代表SELinux正在运行中 disabled关闭SELinux并没有实际运行。 getenforce
#查看目前的模式
sestatus
#查看目前的selinux使用的策略
/etc/selinux/config
#查看和修改selinux策略的位置改变策略之后需要重启
setenforce 0
#转换成permissive
setenforce 1
#转换成enforcing#修改安全上下文
chcon -R -t -u -r 文件
chcon -R --reference文件地址
#连同子目录同时修改R后面接安全上下文的类型字段t后面接身份识别u接角色r
semanage 防火墙
Netfilter
即数据包过滤机制,真正使用规则干活的是内核的netfilter。
iptables
服务把用于处理或过滤流量的策略条目称之为规则多条规则可以组成一个规则链而规则链则依据数据包处理位置的不同进行分类 在进行路由选择前处理数据包用于目标地址转换PREROUTING 处理流入的数据包INPUT本机只需要修改这个 处理流出的数据包OUTPUT 处理转发的数据包FORWARD 在进行路由选择后处理数据包用于源地址转换POSTROUTING 语法格式iptables -t 表名 -A/I/D/R 规则链名 [规则号] -p 协议名 -s 源IP/源子网 --sport 源端口 -s源IP/源子网 --dport 目标端口 -j 动作
eg禁止某个主机地址ssh远程登录该服务器允许该主机访问服务器的web服务。服务器地址为 192.168.150.138,客户机地址192.168.150.139
[rootlocalhost ~]# iptables -I INPUT -p tcp -s 192.168.150.139 --dport 22 -j
REJECT
[rootlocalhost ~]# iptables -I INPUT -p tcp -s 192.168.150.139 --dport 80 -j
ACCEPT
firewalld
firewalld 所提供的模式就可以叫做动态防火墙,firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预 先准备了几套防火墙策略集合策略模板用户可以选择不同的集合从而实现防火墙策略之间的快速切换。
firewalld服务是默认的防火墙配置管理工具拥有基于CLI命令行界面和基于 GUI图形用户界面的两种管理方式。firewall-config是图形化工具firewall-cmd是命令行工具。
常见区域及策略
阻塞block拒绝流入的流量除非与流出的流量有关工作work拒绝流入的流量除非与流出的流量有关家庭home拒绝流入的流量除非与流出的流量有关公共public不相信任何计算机只选择接收传入的网络连接隔离DMZ非军事区域缓冲作用接收传入网络连接信任trusted允许所有丢弃drop拒绝流入的流量除非与流出的流量有关内部internalhome外部external拒绝流入的流量除非与流出的流量有关与ssh有关则允许 firewalld服务软件包 firewall-config-0.3.9-14.el7.noarch firewalld-0.3.9-14.el7.noarch firewalld命令行的主要参数
--get-services预先定义的服务--add-service服务名默认区域允许该服务的流量--add-port端口号/协议默认区域允许该端口的流量 在使用firewalld前需要停止iptables:systemctl stop iptables 重启防火墙服务systemctl restart firewalld 富规则允许所有禁止某个ip访问
