selinux 的说明
SELinux 是 Security-Enhanced Linux 的缩写,意思是安全强化的 linux
selinux 的工作原理
SELinux 是通过 MAC 的方式来控制管理进程,它控制的主体是进程,而目标则是该进程能否读取的文件资源。
主体( subject ):就是进程
目标( object ):被主体访问的资源,可以是文件、目录、端口等。
策略( policy ):由于进程与文件数量庞大,因此 SELinux 会依据某些服务来制定基本的访问安全策略
安全上下文( security context ):主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能够顺利访问。
访问过程:
( 1 )首先,触发具有 httpd_exec_t 这个类型的 /usr/sbin/httpd 这个可执行文件;
( 2 )该文件的类型会让这个文件所造成的主体进程具有 httpd 这个域,我们的策略已经针对这个域制定了许多规则,其中包括这个域可以读取的目标资源类型;
( 3 )由于 httpd domain 被设置为可读取 httpd_sys_content_t 这个类型的目标文件,因此 httpd 进程就能够读取在/var/www/html/ 目录下面的文件了;
( 4 )最终能否读到 /var/www/html/ 目录下面的数据,还要看 rwx 是否符合 linux 权限的规范。
SELinux三种模式
enforcing :强制模式,代表 SELinux 正在运行中,开始限制 domain/type 。
permissive :宽容模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制
domain/type 的访问。
disabled :关闭, SELinux 并没有实际运行。
防火墙
防火墙:防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙又可以分为硬件防火墙与软件防火墙。
linux 系统本身提供的软件防火墙的功能,那就是 Netfilter ,即数据包过滤机制。
拒绝让 Internet 的数据包进入主机的某些端口;
拒绝让某些来源 ip 的数据包进入;
拒绝让带有某些特殊标志( flag )的数据包进入,最常拒绝的就是带有 SYN 的主动连接的标志了;
分析硬件地址( MAC )来决定连接与否。
iptables
防火墙会从以上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配
项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。
在进行路由选择前处理数据包,用于目标地址转换( PREROUTING );
处理流入的数据包( INPUT );
处理流出的数据包( OUTPUT );
处理转发的数据包( FORWARD );
firewalld
firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新即可, 它具备对 IPv4和 IPv6 防火墙设置的支持。
