1.selinux的说明:
SELinux是Security-Enhanced Linux的缩写,意思是安全强化的linux。
其主要有美国国家安全局开发,当初开发目的是为了避免资源误用
系统资源都是通过程序进行访问的,如果将 /var/www/html/ 权限设置为777,代表所有程序均可对该 目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以写入该目录,而该进程是对整 个internet提供服务的。NSA为了控制这方面的权限与进程的问题,就使用linux来作为研究目标,最后 将研究的成果整合到linux内核里面去,也就是SELinux。
2.selinux工作原理
selinux是通过MAC的方式来控制管理进程。它控制的主题是进程,而目标则是该进程能否读取的文件资源
主体:就是进程
目标:被主体访问的资源,可以是文件、目录、端口等
策略:由于进程与文件数量庞大,因此SElinux会依据某些服务来制定基本的访问安全策略
这些策略内还会有详细的规则来制定不同的服务开放某些资源的访问与否,
访问过程:
(1)首先,触发具有httpd_exec_t这个类型的/usr/sbin/httpd这个可执行文件;
(2)该文件的类型会让这个文件所造成的主体进程具有httpd这个域,我们的策略已经针对这个域制定 了许多规则,其中包括这个域可以读取的目标资源类型;
(3)由于httpd domain被设置为可读取httpd_sys_content_t这个类型的目标文件,因此httpd进程就 能够读取在/var/www/html/目录下面的文件了;
(4)最终能否读到/var/www/html/目录下面的数据,还要看rwx是否符合linux权限的规范。
3.selinux的启动、关闭与查看
(1)SELinux三种模式
enforcing:强制模式,代表SELinux正在运行中,开始限制domain/type
permissive:宽容模式,代表SELinux正在运行中,不过仅会有警告信息并不会实际限制 domain/type的访问
disabled:关闭,SELinux并没有实际运行
(2)修改安全上下文
防火墙:
什么是防火墙
防火墙:防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包 的进出。
防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙 的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护 系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers都可以称为软件防火墙。
2、iptables
防火墙会从以上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配 项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策 略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火 墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为 允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成 功,iptables就会根据策略规则所预设的动作来处理这些流量。
3、firewalld
iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,而如果 配置了需要 reload 内核模块的话,过程背后还会包含卸载和重新加载内核模块的动作,而不幸的是,这 个动作很可能对运行中的系统产生额外的不良影响,特别是在网络非常繁忙的系统中。
