0
点赞
收藏
分享

微信扫一扫

IP数据云 识别和分析tor、proxy等各类型代理

八卦城的酒 2024-11-18 阅读 23

selinux 的说明

SELinux Security-Enhanced Linux 的缩写,意思是安全强化的 linux

selinux 的工作原理

SELinux 是通过 MAC 的方式来控制管理进程,它控制的主体是进程,而目标则是该进程能否读取的文件资源。

主体( subject ):就是进程

目标( object ):被主体访问的资源,可以是文件、目录、端口等。

策略( policy ):由于进程与文件数量庞大,因此 SELinux 会依据某些服务来制定基本的访问安全策略

安全上下文( security context ):主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能够顺利访问。

访问过程:

1 )首先,触发具有 httpd_exec_t 这个类型的 /usr/sbin/httpd 这个可执行文件;

2 )该文件的类型会让这个文件所造成的主体进程具有 httpd 这个域,我们的策略已经针对这个域制定了许多规则,其中包括这个域可以读取的目标资源类型;

3 )由于 httpd domain 被设置为可读取 httpd_sys_content_t 这个类型的目标文件,因此 httpd 进程就能够读取在/var/www/html/ 目录下面的文件了;

4 )最终能否读到 /var/www/html/ 目录下面的数据,还要看 rwx 是否符合 linux 权限的规范。

SELinux三种模式

enforcing :强制模式,代表 SELinux 正在运行中,开始限制 domain/type

permissive :宽容模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制

domain/type 的访问。

disabled :关闭, SELinux 并没有实际运行。

防火墙

防火墙:防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙又可以分为硬件防火墙与软件防火墙。

linux 系统本身提供的软件防火墙的功能,那就是 Netfilter ,即数据包过滤机制。

拒绝让 Internet 的数据包进入主机的某些端口;

拒绝让某些来源 ip 的数据包进入;

拒绝让带有某些特殊标志( flag )的数据包进入,最常拒绝的就是带有 SYN 的主动连接的标志了;

分析硬件地址( MAC )来决定连接与否。

iptables

防火墙会从以上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配

项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。

在进行路由选择前处理数据包,用于目标地址转换( PREROUTING );

处理流入的数据包( INPUT );

处理流出的数据包( OUTPUT );

处理转发的数据包( FORWARD );

firewalld

firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新即可, 它具备对 IPv4和 IPv6 防火墙设置的支持。

举报

相关推荐

0 条评论