Linux之selinux和防火墙

已于 2024-11-03 15:01:31 修改
阅读量530 收藏 5
点赞数 5
文章标签: linux 运维 服务器
于 2024-11-02 17:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_75040884/article/details/143452875
版权

selinux(强化的linux)

传统的文件权限与账号的关系:自主访问控制,DAC;

以策略规则制定特定程序读取特定文件:强制访问控制,MAC

SELinux是通过MAC的方式来控制管理进程,它控制的主体是进程

主体(subject):就是进程

目标(object):被主体访问的资源,可以是文件、目录、端口等。

策略(policy):由于进程与文件数量庞大,因此SELinux会依据某些服务来制定基本的访问安全策略。

目前主要的策略有:

targeted:针对网络服务限制较多,针对本机限制较少,是默认的策略;

strict:完整的SELinux限制,限制方面较为严格

安全上下文(security context):主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须 一致才能够顺利访问。

安全上下文用冒号分为四个字段:

identify:role:type:

身份标识(Identify):相当于账号方面的身份标识

角色(role):通过角色字段,可知道这个数据是属于程序、文件资源还是代表用户

类型(type):在默认的targeted策略中,Identify与role字段基本上是不重要的,重要的在于这 个类型字段。

最后一个字段是和MLS和MCS相关的东西,代表灵敏度,一般用s0、s1、s2来命名,数字代表灵敏 度的分级。数值越大、灵敏度越高。

selinux有三种模式

enforcing:强制模式,代表SELinux正在运行中,开始限制domain/type

permissive:宽容模式,代表SELinux正在运行中

disabled:关闭,SELinux并没有实际运行。

getenforce
#查看目前的模式
sestatus
#查看目前的selinux使用的策略
/etc/selinux/config
#查看和修改selinux策略的位置,改变策略之后需要重启
setenforce 0
#转换成permissive
setenforce 1
#转换成enforcing

#修改安全上下文
chcon -R -t -u -r 文件
chcon -R --reference=文件地址
#连同子目录同时修改(R),后面接安全上下文的类型字段(t),后面接身份识别(u),接角色(r)
semanage

防火墙

Netfilter

即数据包过滤机制,真正使用规则干活的是内核的netfilter。

iptables

服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类:

在进行路由选择前处理数据包,用于目标地址转换(PREROUTING);

处理流入的数据包(INPUT);本机只需要修改这个

处理流出的数据包(OUTPUT);

处理转发的数据包(FORWARD);

在进行路由选择后处理数据包,用于源地址转换(POSTROUTING)

语法格式:iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] -p 协议名 <-s 源IP/源子网> --sport 源端口  <-s源IP/源子网> --dport 目标端口 -j 动作

eg:禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为 192.168.150.138,客户机地址:192.168.150.139

[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.150.139 --dport 22 -j 
REJECT
[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.150.139 --dport 80 -j 
ACCEPT

firewalld

firewalld 所提供的模式就可以叫做动态防火墙,firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预 先准备了几套防火墙策略集合(策略模板),用户可以选择不同的集合,从而实现防火墙策略之间的快速切换。

firewalld服务是默认的防火墙配置管理工具,拥有基于CLI(命令行界面)和基于 GUI(图形用户界面)的两种管理方式。firewall-config是图形化工具,firewall-cmd是命令行工具。

常见区域及策略

阻塞block拒绝流入的流量,除非与流出的流量有关
工作work拒绝流入的流量,除非与流出的流量有关
家庭home拒绝流入的流量,除非与流出的流量有关
公共public不相信任何计算机,只选择接收传入的网络连接
隔离DMZ非军事区域,缓冲作用,接收传入网络连接
信任trusted允许所有
丢弃drop拒绝流入的流量,除非与流出的流量有关
内部internal=home
外部external拒绝流入的流量,除非与流出的流量有关;与ssh有关则允许

firewalld服务软件包:

firewall-config-0.3.9-14.el7.noarch

firewalld-0.3.9-14.el7.noarch

firewalld命令行的主要参数:

--get-services预先定义的服务
--add-service=服务名默认区域允许该服务的流量
--add-port=端口号/协议默认区域允许该端口的流量

在使用firewalld前需要停止iptables:systemctl stop iptables

重启防火墙服务:systemctl restart firewalld

富规则:允许所有,禁止某个ip访问

 

linux centos7关闭防火墙命令,CentOS7关闭防火墙SELinux
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
04-29 1万+
一、关闭防火墙 1、临时关闭(下次开机启动,自动启动防火墙)[root@localhost~]#systemctlstopfirewalld 2、查看防火墙状态[root@localhost~]#systemctlstatusfirewalld 3、永久关闭防火墙(开机启动时不在启动) [root@localhost~]#systemctldisablefirewalld 二、关闭SElinux 1、查看selinux状态[root@localhost~]#geten...
SElinux简介
一只苟延残喘的卑微蝼蚁
01-18 1万+
Selinux是由美国国家安全局发起的,在进程层面管控文件系统资源的访问的一种安全机制。集成于内核之中......
Selinux是什么,有啥用,如何关闭开启
热门推荐
暗黑世界
03-01 4万+
一:是什么 它叫做“安全增强型 Linux(Security-Enhanced Linux)”,简称 SELinux,它是 Linux 的一个安全子系统 二:有什么用 其主要作用就是最大限度地减小系统中服务进程可访问的资源(根据的是最小权限原则)。避免权限过大的角色给系统带来灾难性的结果。 ...
SELinux详解
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
LInux基础——SELinux
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
Linuxselinux详解
huaz_md的博客
03-10 5269
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
LinuxSElinux以及防火墙的关闭
01-09
SElinux以及防火墙的关闭  关闭SELinux的方法:  修改/etc/selinux/config文件中的SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为...
linux 关闭防火墙SELinux
qq_19946593的博客
10-15 2353
建议您在重启实例后,预留适当的时间,以便该过程能够完整地进行,确保文件安全设置的正确性。ii.找到SELINUX=enforcing或SELINUX=permissive字段,按i进入编辑模式,将参数修改为SELINUX=disabled。· 如果SELinux状态参数是Enforcing,则SELinux为开启状态,请执行步骤3.b。iii.修改完成后,按Esc键退出编辑模式,输入:wq后按下回车键,保存并退出文件。4.修改完成后,按Esc键退出编辑模式,输入:wq后按下回车键,保存并退出文件。
关闭selinux(防火墙)方法分享
09-15
**关闭 SELinux (防火墙) 的方法** 在 Linux 系统中,特别是 CentOS 发行版,SELinux(Security-Enhanced Linux)是一个强制访问控制安全模块,它为系统提供了额外的安全层。然而,在某些情况下,如开发环境或特定...
Linux安全加固:防火墙规则与SELinux策略
ddcajdkdl的博客
07-03 1013
Firewalld支持区域(zones)的概念,每个区域定义了一组预设的规则,可以根据不同的网络连接(如公共网络、家庭网络等)自动应用不同的安全策略。Linux系统的安全加固是一个多层面的过程,其中防火墙规则与SELinux策略是两个至关重要的方面,它们共同为系统提供了网络本地级别的安全保障。综上所述,结合Firewalld/Iptables的网络防护与SELinux的深度访问控制,可以显著提升Linux系统的整体安全水平。根据系统实际运行的服务需求,调整SELinux策略,避免过于宽松的权限设置。
Linux SELinux讲解
m0_49864110的博客
02-25 4474
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
Linux ---selinux详解
weixin_45673560的博客
11-21 2138
一、selinux的定义 1 SElinux 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2 SElinux对系统的影响 SELinux插件开启时会为系统中开启的每一个程序每一个文件加载一个标签...
LinuxSELinux
qq_57289939的博客
09-07 2386
SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。
开启或关闭SELinux
weixin_66060122的博客
10-18 3797
解决nginx转发请求异常的解决办法failed (13: Permission denied) while connecting to upstream
LinuxSELinux详解(如何关闭、查看是否关闭)
最新发布
凡事预则立,不预则废。
01-08 3747
LinuxSELinux详解(如何关闭、查看是否关闭)
开启Selinux遇到的坑
小刘的博客
01-25 3711
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
新手上路:学会使用SELinux保护你的系统
weixin_43945111的博客
10-21 1890
Selinux的基本使用
LinuxSELinux的介绍以及用法
小橙子的笔记屋
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
SELINUX 服务
weixin_42688499的博客
04-17 2889
目录 一、SELinux 服务介绍 1.1、临时关闭服务 1.2、永久关闭 二、端口上下文 添加端口号的规则的规则库 三、使用布尔值调整selinux策略 四、文件或目录安全上下文 (标签) 4.1、安全上下文介绍 4.1.1、身份字段 4.1.2、角色字段 4.1.3、类型字段 4.1.4、灵敏度 4.2、查询安全上下文 4.2.1、查询某一进程的安全上下文 4.2.2、查询某一目录或文件的安全上下文 4.2.3、查询默认安全上下文 4.3、修改目录安全上下文 4.3.
关闭selinux防火墙
09-14
SELinux(Security-Enhanced Linux)是Linux内核的一个模块,它提供了额外的安全策略来控制程序进程,以及对文件、目录、设备等的访问权限。关闭SELinux通常是为了简化系统的安全管理,使得系统更加开放,但这会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JioJio~z

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值