Selinux及防火墙

一，selinux简介：

SELinux（Security-Enhanced Linux）是一个Linux内核安全模块，旨在提供强制访问控制（MAC）机制，以增强系统的安全性。由美国国家安全局（NSA）开发，SELinux通过实施细粒度的安全策略，控制用户和进程对系统资源的访问。

主要功能：

1. 强制访问控制：不同于传统的自愿访问控制，SELinux通过政策强制实施安全规则，限制程序和用户的行为。
2. 安全策略：SELinux使用复杂的策略定义哪些操作是被允许的，支持细致到每个进程和文件的访问控制。
3. 标签和类型强制：每个进程和对象（如文件）都有一个安全标签，SELinux根据这些标签来决定访问权限。
4. 审计与监控：SELinux能够记录所有的访问尝试，帮助系统管理员检测和分析潜在的安全问题。

应用场景：

保护网络服务（如Web服务器）免受攻击。

实现多用户环境下的安全隔离。

满足合规性和安全审计要求。se

二，selinux的原理：

在红帽Linux（Red Hat Enterprise Linux）中，SELinux的工作原理基于强制访问控制（MAC），其主要机制包括以下几个方面：

1. 安全策略：

SELinux通过定义一组安全策略来控制对系统资源的访问。这些策略规定了哪些用户和进程可以访问哪些文件、设备和其他资源。这些策略通常在系统启动时加载，并且可以根据需要进行修改。

2. 类型标签：

每个进程和对象（如文件、目录、端口）都有一个与之相关的安全上下文标签（即安全属性）。标签通常包括以下几个部分：

• 用户：表示进程的拥有者。
• 角色：用于定义用户在系统中的身份。
• 类型：决定了进程和对象之间的访问权限。

3. 决策机制：

当进程尝试访问资源时，SELinux会根据当前的安全策略和标签，决定是否允许该操作。这个过程涉及以下步骤：

• 访问请求：进程发起对某个对象的访问请求。
• 策略匹配：SELinux检查当前安全上下文和策略，判断是否有匹配的规则。
• 允许或拒绝：如果有匹配的规则且操作被允许，访问将被执行；否则，访问请求将被拒绝，系统将记录拒绝事件。

4. 审计与日志：

SELinux能够记录所有的访问尝试，包括被拒绝的操作。这些日志信息对于安全审计和问题排查非常有用，管理员可以通过审计日志了解哪些操作被拒绝，以及拒绝的原因。

5. 模式：

SELinux可以在不同的模式下运行：

• 强制模式（Enforcing）：强制实施策略，拒绝不符合策略的访问。
• 许可模式（Permissive）：不强制实施策略，但记录所有不符合策略的访问尝试。
• 禁用模式（Disabled）：完全关闭SELinux。

通过这些机制，SELinux在红帽Linux中提供了强大的安全防护，保护系统免受恶意攻击和未经授权的访问。

#查看文件的安全上下文
[root@localhost ~]# ls -Z-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfgdrwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home

三，selinux的用法：

#查看selinux的状态
sestatus#切换的许可模式
setenforce 0#切换到强制模式
setenforce 1#查看当前selinux的策略
getenforce#查看安全上下文
ls -Z /path/to/file#更改安全上下文
chcon -t httpd_sys_content_t /var/www/html/example.html#查看审计日志：该命令将显示所有被拒绝的访问尝试的记录
cat /var/log/audit/audit.log | grep denied#生成SELinux策略建议： 使用audit2allow工具可以将审计日志中的拒绝信息转换为策略建议
cat /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp
第一个命令将生成策略模块，第二个命令将其安装。

四，防火墙的简介：

防火墙是一种网络安全设备或软件，用于监控和控制进入和离开计算机网络的网络流量。它通过设定的安全规则来阻止或允许数据包，从而保护网络和设备免受未授权访问、网络攻击和恶意软件的威胁。

主要功能：

1. 流量过滤：防火墙根据预设的规则过滤网络流量，允许合法流量通过，同时阻止潜在的恶意流量。
2. 访问控制：防火墙可以限制某些用户或设备对网络资源的访问，确保只有授权用户可以访问敏感数据或服务。
3. 网络地址转换（NAT）：一些防火墙可以隐藏内部网络的IP地址，防止外部用户直接访问内部设备。
4. 日志记录与监控：防火墙记录所有通过的流量，并提供日志以供分析，帮助管理员检测潜在的安全事件。

类型：

1. 包过滤防火墙：根据数据包的源地址、目标地址和端口号等信息进行简单的过滤。
2. 状态检测防火墙：跟踪连接的状态，能够理解数据包之间的上下文关系，提供更强的安全性。
3. 代理防火墙：通过代理服务器进行流量转发，能够深入检查数据包内容，增加安全性。
4. 下一代防火墙（NGFW）：集成了多种功能，包括应用层过滤、入侵防御系统（IPS）和深度包检查（DPI）。

应用场景：

• 企业网络安全：保护公司内部网络免受外部攻击。
• 家庭网络安全：保护家庭设备和个人信息免受网络威胁。
• 数据中心安全：保护关键应用和数据免受攻击。

防火墙是网络安全策略的重要组成部分，能够有效地帮助防止网络入侵和数据泄露

五，红帽中的防火墙：

简介

• firewalld：红帽Linux中的默认防火墙管理工具，使用iptables作为底层实现。它提供了一个用户友好的界面，支持命令行和图形界面（如firewall-config）。
• 区域和服务：firewalld使用区域来定义不同的信任级别，每个区域可以指定允许的服务和端口。

原理

1. 区域概念：firewalld将网络接口分配到不同的区域中，每个区域定义了不同的安全级别。例如，public区域用于不信任的网络，而trusted区域则用于完全信任的网络。
2. 服务与端口：用户可以通过服务名称（如HTTP、SSH等）来允许或拒绝特定流量，而不需要手动指定端口号。
3. 动态管理：firewalld支持动态添加或移除规则，而无需重启服务。这使得配置更为灵活，适合于快速变化的网络环境。
4. 持久化与临时配置：规则可以设置为临时生效或持久化保存，以便在重启后依然生效。

应用

保护服务器：通过配置适当的区域和服务，保护Web服务器、数据库服务器等不受外部攻击。

隔离网络流量：在多租户环境中，可以通过不同的区域来隔离不同客户的流量。

VPN与远程访问：配置防火墙规则以允许VPN流量，通过安全隧道保护远程访问。

日志记录与审计：通过配置日志规则，监控网络流量和攻击尝试，帮助进行安全审计。

六，防火墙的一些常见配置命令：

#查看防火墙状态：
firewall-cmd --state#查看当前区域和活动接口：该命令将显示当前活动的区域及其相关联的网络接口。
firewall-cmd --get-active-zones#查看特定区域的规则：该命令将列出public区域的所有规则，包括允许的服务、端口和接口。
firewall-cmd --zone=public --list-all#添加服务到某个区域：该命令将HTTP服务添加到public区域，并将其设置为持久化配置。
firewall-cmd --zone=public --add-service=http --permanent#添加特定端口：该命令将TCP端口8080添加到public区域，并持久化
firewall-cmd --zone=public --add-port=8080/tcp --permanent#删除服务或端口：该命令将从public区域中删除HTTP服务。
firewall-cmd --zone=public --remove-service=http --permanent#重新加载配置：该命令将应用所有未持久化的更改，并重新加载防火墙配置。
firewall-cmd --reload#查看日志： 如果启用了日志记录，可以使用以下命令查看日志：
journalctl -f -u firewalld

七，实验案例：

案例 1：允许SSH和HTTP流量

# 允许SSH流量
firewall-cmd --zone=public --add-service=ssh --permanent# 允许HTTP流量
firewall-cmd --zone=public --add-service=http --permanent# 重新加载配置以使更改生效
firewall-cmd --reload

案例 2：限制特定IP地址的访问

# 添加拒绝规则
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject' --permanent# 重新加载配置
firewall-cmd --reload

案例 3：启用HTTPS流量

# 添加HTTPS服务
firewall-cmd --zone=public --add-service=https --permanent# 重新加载配置
firewall-cmd --reload

案例 4：临时允许某个服务

# 临时允许FTP服务
firewall-cmd --zone=public --add-service=ftp# 重新加载配置以使更改生效
firewall-cmd --reload