security-Enhanced linux
美国NSA国家局主导开发,一套增强Linux系统安全的强制访问控制体系,
集成到Linux内核(2.6及以上)中运行。
RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,
以及管理工具。
SELinux的运行模式
enforcing(强制)
permissive(宽松)
disabled(彻底禁用)
getenforce 查看当前SElinux状态
setenforce 0 或 1 设置当前SELinux状态
永久配置:vim /etc/selinux/config
SELINUX=premissive
防火墙策略管理(Firewall)
作用: 隔离
阻止进内网,允许出外网
系统服务器:firewalld
管理工具: firewall-cmd(命令)
firewall-cmd(图形)
查看防火墙服务状态
systemctl status firewalld.service
根据所在的网络场所区分,预设保护规则集。
public:仅允许访问本机的sshd等少数几个服务。
trusted:允许任何访问。
block:拒绝任何来访请求。
drop:丢弃任何来访的数据。
防火墙判断的规则:匹配及停止。
1.首先看请求(客户端)当中的源IP地址,所有区域中是否有
对于该IP地址的策略,如果有则该请求进入该区域。
2.直接进入默认区域。
firewall-cmd --zone=public --list-all 查看区域规则信息
firewall-cmd --zone=public --add-service=http 添加服务
--permanent 选项:实现永久设置
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --reload 重新加载防火墙
修改默认的区域,不需要加上--permanent
firewall-cmd --set-default-zone=block 修改默认区域
firewall-cmd --get-default-zone 查看默认区域
实现本机的端口映射
本地应用的端口重定向(端口1---》端口2)
从客户机访问端口1的请求,自动映射到本机端口2。
例:访问两个地址可以看到相同的页面
firefox http://172.25.0.11:5423--->172.25.0.11:80
firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80
firewall-cmd --reloa