当前位置：首页 > article >正文

openEuler(CentOS8)防火墙firewall与Selinux实战配置指南

article 2026/4/16 7:58:47

1. 防火墙firewalld基础操作指南刚接触openEuler或CentOS8系统的朋友经常会遇到服务端口无法访问的问题。这十有八九是防火墙在作怪。别担心今天我就带大家彻底搞定这个安全卫士。firewalld是新一代动态防火墙管理工具相比传统的iptables它最大的特点就是配置实时生效不用重启服务。我刚开始用的时候总习惯性敲service iptables save后来才发现firewalld根本不需要这套操作。下面这些命令是我在运维工作中每天都会用到的# 查看防火墙状态这个命令我一天要敲几十遍 systemctl status firewalld # 启停防火墙的正确姿势 systemctl start firewalld # 启动 systemctl stop firewalld # 停止 systemctl restart firewalld # 重启有个细节特别容易踩坑systemctl enable firewalld这个命令会让防火墙开机自启。很多新手在测试环境关闭防火墙后重启服务器发现又自动打开了就是这个原因。建议生产环境务必开启测试环境可以根据需要禁用。2. 端口管理实战技巧管理端口就像给房子开门窗既要保证通行便利又要防范安全隐患。我在配置服务器时通常会先放行这些必备端口# 放行常用服务端口记得加--permanent参数 firewall-cmd --add-port22/tcp --permanent # SSH远程管理 firewall-cmd --add-port80/tcp --permanent # Web服务 firewall-cmd --add-port443/tcp --permanent # HTTPS firewall-cmd --add-port3306/tcp --permanent # MySQL配置完成后必须执行firewall-cmd --reload才能使永久规则生效。这个步骤我见过太多人忘记包括我自己早期也经常犯这个错误。有一次排查了半小时的端口不通问题最后发现是没reload配置现在想起来都觉得好笑。查看当前开放的端口列表可以用firewall-cmd --list-ports如果需要关闭某个端口比如临时禁用MySQL远程访问firewall-cmd --remove-port3306/tcp --permanent firewall-cmd --reload3. 高级防火墙配置除了基础端口管理firewalld还有一些实用功能值得掌握区域(zone)管理是firewalld的特色功能。默认情况下新网卡会加入public区域。我有次给服务器加新网卡后发现服务无法访问就是因为没把网卡加入正确的zone。可以通过以下命令管理# 查看所有可用区域 firewall-cmd --get-zones # 查看默认区域 firewall-cmd --get-default-zone # 修改网卡所属区域 firewall-cmd --zonework --change-interfaceeth1 --permanent**富规则(Rich Rules)**可以实现更精细的控制。比如只允许特定IP访问SSHfirewall-cmd --add-rich-rulerule familyipv4 source address192.168.1.100 service namessh accept --permanent4. SELinux基础概念SELinux堪称Linux系统的钢铁侠战衣它通过强制访问控制(MAC)机制给每个进程和文件都上了锁。虽然刚开始会觉得它很烦人但熟悉后就会发现它的强大之处。SELinux有三种工作模式Enforcing强制执行安全策略生产环境推荐Permissive仅记录不阻止调试时使用Disabled完全禁用不建议查看当前状态getenforce临时切换模式重启后失效setenforce 0 # 切换到Permissive模式 setenforce 1 # 切换回Enforcing模式5. SELinux实战配置永久修改SELinux状态需要编辑配置文件vim /etc/selinux/config将SELINUX后面的值改为需要的模式。修改后必须重启系统才能生效。这里有个血泪教训有次我在生产环境直接改成disabled结果忘记重启排查了半天为什么策略还在生效。处理SELinux相关问题时这几个命令能帮大忙# 查看SELinux拒绝日志 ausearch -m avc -ts recent # 查看文件/目录的安全上下文 ls -Z /var/www/html # 修改安全上下文 chcon -t httpd_sys_content_t /var/www/html6. 防火墙与SELinux协同工作防火墙和SELinux就像门口的保安和房间的智能锁。即使通过了防火墙(保安)还需要SELinux(智能锁)的授权才能访问资源。常见问题排查步骤先用systemctl status firewalld确认防火墙状态用firewall-cmd --list-ports确认端口已开放用getenforce确认SELinux模式检查/var/log/audit/audit.log中的拒绝记录遇到权限问题时可以临时将SELinux设为Permissive模式测试是否是SELinux导致的问题。确认后再针对性调整策略而不是简单粗暴地完全禁用SELinux。7. 生产环境最佳实践根据我在金融行业的运维经验推荐以下配置方案防火墙配置保持firewalld常开只开放必要的业务端口对管理端口(如SSH)实施IP白名单限制定期审计端口开放情况SELinux配置生产环境保持Enforcing模式针对定制服务创建专属安全策略使用audit2allow工具生成自定义策略模块定期分析安全日志日常维护# 每周检查一次异常放行记录 firewall-cmd --list-all ausearch -m avc -ts this-week记住安全性和便利性需要平衡。刚开始可能会觉得这些安全措施很麻烦但养成习惯后它们会成为你系统最可靠的守护者。

openEuler(CentOS8)防火墙firewall与Selinux实战配置指南

相关文章：

openEuler(CentOS8)防火墙firewall与Selinux实战配置指南

避坑！这些毕设太好抄了，3000+毕设案例推荐第1062期

原神帧率解锁完全指南：如何安全突破60FPS限制

站群系统的技术内核与商业逻辑：从开源到合正的选择

终极指南：5分钟快速解锁微信网页版，让浏览器中的微信重新可用

京东抢购神器：JDspyder自动化脚本完整使用指南

如何用biliTickerBuy实现B站会员购智能抢票？5个实战技巧帮你提升90%成功率

信捷PLC运动控制避坑指南：为什么绝对位置比较比静止判断更靠谱？

简单免费：猫抓浏览器插件帮你轻松获取网页视频和音频资源的完整指南

Blender化学品插件终极指南：从零开始创建专业3D分子模型

哔哩下载姬DownKyi完全指南：如何免费批量下载B站8K超高清视频

《信息系统项目管理师教程（第4版）》——采购管理知识要点

Windows系统激活难题终极解决方案：KMS_VL_ALL_AIO智能脚本全解析

万物识别镜像免费体验：无需自己训练模型，开箱即用的识别工具

GPT-5架构泄露？Kubernetes 1.31发布与Rust重构浪潮下的云原生之变

多Agent技术爆发：28个月速成，企业应用超30%！揭秘AI协作新生态

Zotero Citation插件终极指南：让Word文献引用更简单清晰的完整教程

LangChain入门指南：轻松掌握大模型应用开发，收藏必备技能！

软件实例化管理中的对象池技术

烘干选对设备，品质更有保障

如何轻松重置JetBrains IDE试用期？30天无限续杯指南

Windows 11拖放功能一键恢复：告别任务栏拖拽烦恼的终极方案

字符串盲区速记

BEYOND REALITY Z-Image轻量化方案：解决传统模型模糊、细节缺失痛点

别再只做单步预测了！用Python+LSTM搞定未来3天客流预测（附完整代码）

踩坑实战分析前端实时数据刷新全方案详解｜WebSocket / 定时轮询 / 惰性轮询 / Web Worker / SharedWorker / 后台静默同步

新手实战分享鸿蒙 HarmonyOS 6｜混合开发（01）Web 组件内核——ArkWeb 加载机制与 Cookie 管理

大麦网抢票自动化：Python脚本帮你轻松购票

JD_AutoComment图片审核优化：从技术债务到企业级解决方案

3个关键步骤解决游戏串流难题：Sunshine新手配置完全指南