當(dāng)前位置：首頁 > news >正文

邯鄲網(wǎng)站建設(shè)的地方考研培訓(xùn)班集訓(xùn)營

news 2025/7/8 13:03:29

邯鄲網(wǎng)站建設(shè)的地方,考研培訓(xùn)班集訓(xùn)營,外貿(mào)批發(fā)網(wǎng)站建設(shè),rp網(wǎng)站自動(dòng)跳轉(zhuǎn)圖片怎么做selinux 什么是selinux SELinux 是 Security-Enhanced Linux 的縮寫，意思是安全強(qiáng)化的 linux 。 SELinux 主要由美國國家安全局（ NSA ）開發(fā)，當(dāng)初開發(fā)的目的是為了避免資源的誤用。系統(tǒng)資源都是通過程序進(jìn)行訪問的&#xff0…

selinux?

什么是selinux

SELinux 是 Security-Enhanced Linux 的縮寫，意思是安全強(qiáng)化的 linux 。

SELinux 主要由美國國家安全局（ NSA ）開發(fā)，當(dāng)初開發(fā)的目的是為了避免資源的誤用。

系統(tǒng)資源都是通過程序進(jìn)行訪問的，如果將 /var/www/html/ 權(quán)限設(shè)置為 777 ，代表所有程序均可對該目錄訪問，如果已經(jīng)啟動(dòng)www 服務(wù)器軟件，那么該軟件觸發(fā)的進(jìn)程將可以寫入該目錄，而該進(jìn)程是對整個(gè)internet 提供服務(wù)的。 NSA 為了控制這方面的權(quán)限與進(jìn)程的問題，就使用 linux 來作為研究目標(biāo)，最后將研究的成果整合到linux 內(nèi)核里面去，也就是 SELinux 。

SELinux 是對程序、文件等權(quán)限設(shè)置依據(jù)的一個(gè)內(nèi)核模塊。由于啟動(dòng)網(wǎng)絡(luò)服務(wù)的也是程序，因此剛好也是能夠控制網(wǎng)絡(luò)服務(wù)能否訪問系統(tǒng)資源的一道關(guān)卡。

傳統(tǒng)的文件權(quán)限與賬號的關(guān)系：自主訪問控制， DAC （ Discretionary Access Control ）。當(dāng)某個(gè)進(jìn)程想要對文件進(jìn)行訪問時(shí)，系統(tǒng)就會(huì)根據(jù)該進(jìn)程的所有者/ 用戶組，并比較文件的權(quán)限，若通過權(quán)限檢查，就可以訪問該文件了。各種權(quán)限設(shè)置對root 用戶是無效的。

以策略規(guī)則制定特定程序讀取特定文件：強(qiáng)制訪問控制， MAC （ Mandatory Access Control ）。 MAC 可以針對特定的進(jìn)程與特定的文件資源來進(jìn)行權(quán)限的控制。也就是說，即使你是root ，在使用不同的進(jìn)程時(shí)，你所能取得的權(quán)限并不一定是root ，而得要看當(dāng)時(shí)該進(jìn)程的設(shè)置而定。如此一來，就可以針對進(jìn)程，而不是用戶對文件來進(jìn)行訪問控制。此外，這個(gè)進(jìn)程也不能任意使用系統(tǒng)文件資源，因?yàn)槊總€(gè)文件資源也有針對進(jìn)程設(shè)置可取用的權(quán)限。由于，整個(gè)系統(tǒng)進(jìn)程那么多，文件那么多，所以SELinux 也提供一些默認(rèn)的策略（policy ），并在該策略內(nèi)提供多個(gè)規(guī)則，讓你可以選擇是否啟用該控制規(guī)則。

selinux的工作原理?

SELinux 是通過 MAC 的方式來控制管理進(jìn)程，它控制的主體是進(jìn)程，而目標(biāo)則是該進(jìn)程能否讀取的文件資源。

主體（ subject ）：就是進(jìn)程

目標(biāo)（ object ）：被主體訪問的資源，可以是文件、目錄、端口等。

策略（ policy ）：由于進(jìn)程與文件數(shù)量龐大，因此 SELinux 會(huì)依據(jù)某些服務(wù)來制定基本的訪問安全策略。

這些策略內(nèi)還會(huì)有詳細(xì)的規(guī)則（ rule ）來指定不同的服務(wù)開放某些資源的訪問與否。目前主要的策略有：

targeted ：針對網(wǎng)絡(luò)服務(wù)限制較多，針對本機(jī)限制較少，是默認(rèn)的策略；

strict ：完整的 SELinux 限制，限制方面較為嚴(yán)格。

安全上下文（ security context ）：主體能不能訪問目標(biāo)除了策略指定外，主體與目標(biāo)的安全上下文必須一致才能夠順利訪問。

最終文件的成功訪問還是與文件系統(tǒng)的 rwx 權(quán)限設(shè)置有關(guān) 。

[root@localhost ~] # ls -Z

-rw------- . root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg

drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home

安全上下文用冒號分為四個(gè)字段：?

身份標(biāo)識（ Identify ）：相當(dāng)于賬號方面的身份標(biāo)識，主要有以下三種常見的類型：

root ：表示 root 的賬號身份；

system_u ：表示程序方面的標(biāo)識，通常就是進(jìn)程；

unconfined_u ：代表的是一般用戶賬號相關(guān)的身份。

角色（ role ）：通過角色字段，可知道這個(gè)數(shù)據(jù)是屬于程序、文件資源還是代表用戶。一般角色有：

object_r ：代表的是文件或目錄等文件資源；

system_r ：代表的是進(jìn)程。

類型（ type ）：在默認(rèn)的 targeted 策略中， Identify 與 role 字段基本上是不重要的，重要的在于這個(gè)類型字段。而類型字段在文件與進(jìn)程的定義不太相同，分別是：

type ：在文件資源上面稱為類型。

domain ：在主體程序中則稱為域。

domain 需要與 type 搭配，則該程序才能夠順利讀取文件資源。

最后一個(gè)字段是和 MLS 和 MCS 相關(guān)的東西，代表靈敏度，一般用 s0 、 s1 、 s2 來命名，數(shù)字代表靈敏度的分級。數(shù)值越大、靈敏度越高。?

訪問過程：

（ 1 ）首先，觸發(fā)具有 httpd_exec_t 這個(gè)類型的 /usr/sbin/httpd 這個(gè)可執(zhí)行文件；

（ 2 ）該文件的類型會(huì)讓這個(gè)文件所造成的主體進(jìn)程具有 httpd 這個(gè)域，我們的策略已經(jīng)針對這個(gè)域制定了許多規(guī)則，其中包括這個(gè)域可以讀取的目標(biāo)資源類型；

（ 3 ）由于 httpd domain 被設(shè)置為可讀取 httpd_sys_content_t 這個(gè)類型的目標(biāo)文件，因此 httpd 進(jìn)程就能夠讀取在/var/www/html/ 目錄下面的文件了；

（ 4 ）最終能否讀到 /var/www/html/ 目錄下面的數(shù)據(jù)，還要看 rwx 是否符合 linux 權(quán)限的規(guī)范。

selinux的啟動(dòng)、關(guān)閉與查看?

SELinux三種模式

enforcing ：強(qiáng)制模式，代表 SELinux 正在運(yùn)行中，開始限制 domain/type 。

permissive ：寬容模式，代表 SELinux 正在運(yùn)行中，不過僅會(huì)有警告信息并不會(huì)實(shí)際限制

domain/type 的訪問。

disabled ：關(guān)閉， SELinux 并沒有實(shí)際運(yùn)行。

防火墻?

1 、什么是防火墻

防火墻：防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的屏障，它按照系統(tǒng)管理員預(yù)先定義好的規(guī)則來控制數(shù)據(jù)包的進(jìn)出。

防火墻又可以分為硬件防火墻與軟件防火墻。硬件防火墻是由廠商設(shè)計(jì)好的主機(jī)硬件，這臺硬件防火墻的操作系統(tǒng)主要以提供數(shù)據(jù)包數(shù)據(jù)的過濾機(jī)制為主，并將其他不必要的功能拿掉。軟件防火墻就是保護(hù) 系統(tǒng)網(wǎng)絡(luò)安全的一套軟件（或稱為機(jī)制），例如Netfilter 與 TCP Wrappers 都可以稱為軟件防火墻。

主要介紹 linux 系統(tǒng)本身提供的軟件防火墻的功能，那就是 Netfilter ，即數(shù)據(jù)包過濾機(jī)制。

數(shù)據(jù)包過濾，也就是分析進(jìn)入主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，將數(shù)據(jù)包的頭部數(shù)據(jù)提取出來進(jìn)行分析，以決定該連接為放行或抵擋的機(jī)制。由于這種方式可以直接分析數(shù)據(jù)包頭部數(shù)據(jù)，包括硬件地址，軟件地址， TCP、UDP 、 ICMP 等數(shù)據(jù)包的信息都可以進(jìn)行過濾分析，因此用途非常廣泛（主要分析 OSI 七層協(xié)議的 2、 3 、 4 層）。

由此可知，linux的Netfilter機(jī)制可以進(jìn)行的分析工作有：

拒絕讓 Internet 的數(shù)據(jù)包進(jìn)入主機(jī)的某些端口；

拒絕讓某些來源 ip 的數(shù)據(jù)包進(jìn)入；

拒絕讓帶有某些特殊標(biāo)志（ flag ）的數(shù)據(jù)包進(jìn)入，最常拒絕的就是帶有 SYN 的主動(dòng)連接的標(biāo)志了；

分析硬件地址（ MAC ）來決定連接與否。

雖然 Netfilter 防火墻可以做到這么多事情，不過，某些情況下，它并不能保證我們的網(wǎng)絡(luò)一定就很安全。例如：

防火墻并不能有效阻擋病毒或木馬程序。（假設(shè)主機(jī)開放了 www 服務(wù)，防火墻的設(shè)置是一定要將 www服務(wù)的 port 開放給 client 端的。假設(shè) www 服務(wù)器軟件有漏洞，或者請求 www 服務(wù)的數(shù)據(jù)包本身就是病毒的一部分時(shí)，防火墻是阻止不了的）

防火墻對于內(nèi)部 LAN 的攻擊無能為力（防火墻對于內(nèi)部的規(guī)則設(shè)置通常比較少，所以就很容易造成內(nèi)部員工對于網(wǎng)絡(luò)無用或?yàn)E用的情況）

netfilter 這個(gè)數(shù)據(jù)包過濾機(jī)制是由 linux 內(nèi)核內(nèi)建的，不同的內(nèi)核版本使用的設(shè)置防火墻策略的軟件不一樣，在紅帽7 系統(tǒng)中 firewalld 服務(wù)取代了 iptables 服務(wù)，但其實(shí) iptables 服務(wù)與 firewalld 服務(wù)它們都只是用來定義防火墻策略的“ 防火墻管理工具 ” 而已，他們的作用都是用于維護(hù)規(guī)則，而真正使用規(guī)則干活的是內(nèi)核的netfilter 。

?iptables

iptables 介紹

防火墻會(huì)從以上至下的順序來讀取配置的策略規(guī)則，在找到匹配項(xiàng)后就立即結(jié)束匹配工作并去執(zhí)行匹配項(xiàng)中定義的行為（即放行或阻止）。如果在讀取完所有的策略規(guī)則之后沒有匹配項(xiàng)，就去執(zhí)行默認(rèn)的策略。一般而言，防火墻策略規(guī)則的設(shè)置有兩種：一種是“ 通 ” （即放行），一種是 “ 堵 ” （即阻止）。當(dāng)防火墻的默認(rèn)策略為拒絕時(shí)（堵），就要設(shè)置允許規(guī)則（通），否則誰都進(jìn)不來；如果防火墻的默認(rèn)策略為允許時(shí)，就要設(shè)置拒絕規(guī)則，否則誰都能進(jìn)來，防火墻也就失去了防范的作用。 iptables服務(wù)把用于處理或過濾流量的策略條目稱之為規(guī)則，多條規(guī)則可以組成一個(gè)規(guī)則鏈，而規(guī)則鏈則依據(jù)數(shù)據(jù)包處理位置的不同進(jìn)行分類，具體如下：

在進(jìn)行路由選擇前處理數(shù)據(jù)包，用于目標(biāo)地址轉(zhuǎn)換（ PREROUTING ）；

處理流入的數(shù)據(jù)包（ INPUT ）；

處理流出的數(shù)據(jù)包（ OUTPUT ）；

處理轉(zhuǎn)發(fā)的數(shù)據(jù)包（ FORWARD ）；

在進(jìn)行路由選擇后處理數(shù)據(jù)包，用于源地址轉(zhuǎn)換（ POSTROUTING ）。

iptables 命令可以根據(jù)流量的源地址、目的地址、傳輸協(xié)議、服務(wù)類型等信息進(jìn)行匹配，一旦匹配成功，iptables 就會(huì)根據(jù)策略規(guī)則所預(yù)設(shè)的動(dòng)作來處理這些流量。

語法格式： iptables -t 表名 <-A/I/D/R> 規(guī)則鏈名 [ 規(guī)則號 ] <-i/o 網(wǎng)卡名 > -p 協(xié)議名 <-s

源 IP/ 源子網(wǎng) > --sport 源端口 <-d 目標(biāo) IP/ 目標(biāo)子網(wǎng) > --dport 目標(biāo)端口 -j 動(dòng)作

參數(shù)說明?

-t

對指定的表進(jìn)行操作， table 必須是 raw ， nat ， filter ， mangle 中的一個(gè)。默認(rèn)是 filter

表。

-p

指定要匹配的數(shù)據(jù)包協(xié)議類型

-s

--source address[/mask][,...] ：把指定的一個(gè)或者一組地址作為源地址，按此規(guī)則進(jìn)行過

濾。當(dāng)后面沒有 mask 時(shí)， address 是一個(gè)地址，比如： 192.168.1.1 ；當(dāng) mask 指定時(shí)，

可以表示一組范圍內(nèi)的地址，比如： 192.168.1.0/255.255.255.0

-d

--destination address[/mask][,...] ：地址格式同上，但這里指定地址為目的地址，按此進(jìn)

行過濾

-i

--in-interface name ：指定數(shù)據(jù)包的來自來自網(wǎng)絡(luò)接口，比如最常見的 eth0 。注意：它

只對 INPUT ， FORWARD ， PREROUTING 這三個(gè)鏈起作用。如果沒有指定此選項(xiàng)，說明

可以來自任何一個(gè)網(wǎng)絡(luò)接口。同前面類似， "!" 表示取反

-o

--out-interface name ：指定數(shù)據(jù)包出去的網(wǎng)絡(luò)接口。只對 OUTPUT ， FORWARD ，

POSTROUTING 三個(gè)鏈起作用

-L

--list [chain] 列出鏈 chain 上面的所有規(guī)則，如果沒有指定鏈，列出表上所有鏈的所有規(guī)

則

-A

--append chain rule-specification ：在指定鏈 chain 的末尾插入指定的規(guī)則，也就是

說，這條規(guī)則會(huì)被放到最后，最后才會(huì)被執(zhí)行。規(guī)則是由后面的匹配來指定

-I

--insert chain [rulenum] rule-specification ：在鏈 chain 中的指定位置插入一條或多條

規(guī)則。如果指定的規(guī)則號是 1 ，則在鏈的頭部插入。這也是默認(rèn)的情況，如果沒有指定規(guī)

則號

-D

--delete chain rule-specification -D, --delete chain rulenum ：在指定的鏈 chain 中刪除

一個(gè)或多個(gè)指定規(guī)則

-R

num

Replays 替換 / 修改第幾條規(guī)則

-P

--policy chain target ：為指定的鏈 chain 設(shè)置策略 target 。注意，只有內(nèi)置的鏈才允許

有策略，用戶自定義的是不允許的

-F

--flush [chain] 清空指定鏈 chain 上面的所有規(guī)則。如果沒有指定鏈，清空該表上所有鏈

的所有規(guī)則

-N

--new-chain chain 用指定的名字創(chuàng)建一個(gè)新的鏈

-X

--delete-chain [chain] ：刪除指定的鏈，這個(gè)鏈必須沒有被其它任何規(guī)則引用，而且這條

上必須沒有任何規(guī)則。如果沒有指定鏈名，則會(huì)刪除該表中所有非內(nèi)置的鏈

-E

--rename-chain old-chain new-chain ：用指定的新名字去重命名指定的鏈。這并不會(huì)對

鏈內(nèi)部造成任何影響

-Z

--zero [chain] ：把指定鏈，或者表中的所有鏈上的所有計(jì)數(shù)器清零

-j

--jump target < 指定目標(biāo) > ：即滿足某條件時(shí)該執(zhí)行什么樣的動(dòng)作。 target 可以是內(nèi)置的

目標(biāo)，比如 ACCEPT ，也可以是用戶自定義的鏈

-h

顯示幫助信息

firewalld

firewalld 介紹

iptables service 首先對舊的防火墻規(guī)則進(jìn)行了清空，然后重新完整地加載所有新的防火墻規(guī)則，而如果配置了需要 reload 內(nèi)核模塊的話，過程背后還會(huì)包含卸載和重新加載內(nèi)核模塊的動(dòng)作，而不幸的是，這個(gè)動(dòng)作很可能對運(yùn)行中的系統(tǒng)產(chǎn)生額外的不良影響，特別是在網(wǎng)絡(luò)非常繁忙的系統(tǒng)中。如果我們把這種哪怕只修改一條規(guī)則也要進(jìn)行所有規(guī)則的重新載入的模式稱為靜態(tài)防火墻的話，那么firewalld 所提供的模式就可以叫做動(dòng)態(tài)防火墻，它的出現(xiàn)就是為了解決這一問題，任何規(guī)則的變更都不需要對整個(gè)防火墻規(guī)則列表進(jìn)行重新加載，只需要將變更部分保存并更新即可, 它具備對 IPv4 和 IPv6 防火墻設(shè)置的支持。相比于傳統(tǒng)的防火墻管理工具，firewalld 支持動(dòng)態(tài)更新技術(shù)并加入了區(qū)域的概念。區(qū)域就是 firewalld 預(yù)先準(zhǔn)備了幾套防火墻策略集合（策略模板），用戶可以選擇不同的集合，從而實(shí)現(xiàn)防火墻策略之間的快速切換。

firewalld 中常見的區(qū)域名稱（默認(rèn)為 public ）以及相應(yīng)的策略規(guī)則：