Linux之SELinux与防火墙

一、SELinux的说明

1. 开发背景与目的：
   • SELinux由美国国家安全局（NSA）开发，旨在避免资源的误用。传统的Linux基于自主访问控制（DAC），通过判断进程所有者/用户组与文件权限来控制访问，对root用户权限限制较少。而NSA为更好地控制权限与进程问题，以Linux为研究目标，将成果整合进Linux内核形成SELinux。
2. 核心概念：
   • 自主访问控制（DAC）：根据进程所有者/用户组对比文件权限来决定是否可访问文件，root用户不受各种权限设置限制。
   • 强制访问控制（MAC）：以策略规则制定特定程序读取特定文件的权限控制方式，即使是root用户，使用不同进程时获取的权限依进程设置而定，且进程不能任意使用系统文件资源，SELinux提供默认策略及规则供选择启用。

二、SELinux的工作原理

1. 主体、目标与策略：
   • 主体（subject）：即进程。
   • 目标（object）：被主体访问的资源，如文件、目录、端口等。
   • 策略（policy）：依据某些服务制定基本访问安全策略，包含详细规则指定不同服务对资源的访问与否。主要策略有targeted（默认，对网络服务限制多、本机限制少）和strict（限制严格）。

#查看文件的安全上下文
[root@localhost ~]# ls -Z
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home

安全上下文用冒号分为四个字段：
Identify：role：type：
身份标识（Identify）：相当于账号方面的身份标识，主要有以下三种常见的类型：
root：表示root的账号身份；
system_u：表示程序方面的标识，通常就是进程；
unconfined_u：代表的是一般用户账号相关的身份。
角色（role）：通过角色字段，可知道这个数据是属于程序、文件资源还是代表用户。一般角色
有：
object_r：代表的是文件或目录等文件资源；
system_r：代表的是进程。
类型（type）：在默认的targeted策略中，Identify与role字段基本上是不重要的，重要的在于这
个类型字段。而类型字段在文件与进程的定义不太相同，分别是：
type：在文件资源上面称为类型。
domain：在主体程序中则称为域。
domain需要与type搭配，则该程序才能够顺利读取文件资源。
最后一个字段是和MLS和MCS相关的东西，代表灵敏度，一般用s0、s1、s2来命名，数字代表灵敏
度的分级。数值越大、灵敏度越高。

三、SELinux的启动、关闭与查看

1. 三种模式：
   • enforcing（强制模式）：SELinux正在运行，开始限制domain/type。
   • permissive（宽容模式）：SELinux正在运行，但仅发出警告信息，不实际限制domain/type访问。
   • disabled（关闭）：SELinux未实际运行。
2. 查看与切换模式：
   • 通过getenforce查看当前模式，sestatus查看SELinux状态、使用策略等信息。
   • 可通过setenforce 0切换到permissive模式，setenforce 1切换到enforcing模式，改变策略后需重新启动系统，在enforcing、permissive、disabled之间切换某些情况也需重新启动。

#查看目前的模式
[root@localhost ~]# getenforce
Enforcing
#查看目前的selinux使用的策略
[root@server /]# sestatus
SELinux status:                 enabled  # 是否启用selinux
SELinuxfs mount:                /sys/fs/selinux #selinux的相关文件数据挂载点
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted #目前的策略
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33#查看selinux的策略：
[root@server ~]# vim /etc/selinux/config
改变策略之后需要重新启动；
如果由enforcing或permissive改成disabled，或由disabled改为其它两个，也必须要重新启动。
将selinux模式在enforcing和permissive之间切换的方法为：
setenforce 0 转换成permissive宽容模式
setenforce 1转换成enforcing强制模式

restorecon [-Rv] 文件或目录
-R：连同子目录一起修改；
-v：将过程显示到屏幕上
restorecon怎么会知道每个目录记载的默认selinux type类型呢？因为系统将每个目录的默认selinux type类型记录在/etc/selinux/targeted/contexts/目录内。但是该目录内有很多不同的数据，所以我们可以用semanage这个命令的功能来查询与修改。
semanage ｛login|user|port|interface|fcontext|translation｝ -l
semanage fcontext -{a|d|m} [-frst] file_spec
-l为查询；
-a：增加一些目录的默认安全上下文的设置；
-m：修改；
-d：删除。

3. 修改安全上下文：

chcon [-R] [-t type] [-u user] [-r role] 文件
-R：连同该目录下的子目录也同时修改；
-t：后面接安全上下文的类型字段；
-u：后面接身份识别；
-r：后面接角色
chcon [-R] --reference=范例文件 文件 将文件的安全上下文按照范例文件修改
restorecon [-Rv] 文件或目录
-R：连同子目录一起修改；
-v：将过程显示到屏幕上
restorecon怎么会知道每个目录记载的默认selinux type类型呢？因为系统将每个目录的默认
selinux type类型记录在/etc/selinux/targeted/contexts/目录内。但是该目录内有很多不同
的数据，所以我们可以用semanage这个命令的功能来查询与修改。
semanage ｛login|user|port|interface|fcontext|translation｝ -l
semanage fcontext -{a|d|m} [-frst] file_spec
-l为查询；
-a：增加一些目录的默认安全上下文的设置；
-m：修改；
-d：删除。

四、SELinux对Linux服务的影响

1. 实验一：httpd服务演示安全上下文值设定：
   • 服务端设置好httpd服务相关配置后，通过客户端测试只能访问到http服务测试界面，修改自定义目录/www的安全上下文值为httpd_sys_content_t（可通过chcon -t httpd_sys_content_t /www -R或按/var/www/html文件修改）后可成功访问。

[root@server ~]# systemctl disable firewalld --now
[root@server ~]# getenforce
Enforcing
[root@server ~]# cat /etc/nginx/conf.d/test_ip.conf
server {listen 192.168.121.100:80;root /www/ip/100;location / {}
}
server {listen 192.168.121.200:80;root /www/ip/200;location / {}
}
[root@server ~]# systemctl restart nginx.service
[root@server ~]# curl 192.168.121.100
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.26.1</center>
</body>
</html>
然后我们进行安全上下文的修改：
方法1：直接修改自定义目录的安全上下文：
[root@server ~]# chcon -t httpd_sys_content_t /www/ -R方法2：将自定义目录的安全上下文的值按照按照指定文件进行修改：
[root@server ~]# chcon -R --reference=/usr/share/nginx/html/index.html /www[root@server ~]# curl 192.168.121.100
this is 100

2. 实验二：web服务端口改变演示端口设定：

[root@server ~]# vim /etc/nginx/conf.d/test_port.conf
server {listen 192.168.121.153:80;root /www/port/80;location / {}
}
server {listen 192.168.121.153:10000;root /www/port/10000;location / {}
}
#重启nginx服务出现错误，查看其状态日志信息，拒绝访问10000端口
[root@server ~]# systemctl restart nginx.service
Job for nginx.service failed because the control process exited with error code.
See "systemctl status nginx.service" and "journalctl -xeu nginx.service" for details.#向 SELinux 策略中添加一条规则，将 http_port_t 类型分配给 TCP 端口 10000:
[root@server ~]# semanage port -a -t http_port_t -p tcp 10000
[root@server ~]# systemctl restart nginx.service

一、防火墙概述

1. 定义与分类：
   • 防火墙是位于内部网和外部网之间的屏障，按预定义规则控制数据包进出。可分为硬件防火墙（由厂商设计的主机硬件，以数据包过滤机制为主）和软件防火墙（如Netfilter、TCP Wrappers等，这里主要介绍Linux系统的Netfilter）。
   • Netfilter是Linux内核内建的数据包过滤机制，能分析数据包头部数据（涉及OSI七层协议的2、3、4层），可进行多种过滤操作，如拒绝特定端口、来源IP、带有特殊标志的数据包等，但不能有效阻挡病毒或木马程序，对内部LAN攻击也较难防范。

二、iptables

1. 介绍：
   • iptables服务把处理或过滤流量的策略条目称为规则，多条规则组成规则链，依据数据包处理位置分类，包括
     目标地址转换（PREROUTING）；
     处理流入的数据包（INPUT）；
     处理流出的数据包（OUTPUT）；
     处理转发的数据包（FORWARD）；
     在进行路由选择后处理数据包，用于源地址转换（POSTROUTING）。
   • 防火墙按从上至下顺序读取策略规则，找到匹配项即执行相应行为，若无匹配项则执行默认策略。其命令格式及各参数有明确含义，可根据流量的多种信息进行匹配并处理。
2. 实验与案例：
   准备工作

#安装iptables相关的包，由于我们这里是9.X版本，应该安装iptables-nft-services：
[root@server ~]# yum install iptables-nft-services -y#关闭firewalld ,开启iptables，并且查看其状态是不是active：
[root@server ~]# systemctl stop firewalld
[root@server ~]# systemctl start iptables
[root@server ~]# systemctl status iptables.service#清除所有的规则表：
[root@server ~]# iptables -F#展示所有的规则策略：
[root@server ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destinationChain FORWARD (policy ACCEPT)
target     prot opt source               destinationChain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@server ~]#

实验一：搭建web服务，设置任何人能够通过80端口访问。

#向 INPUT 链中插入一条规则，允许所有进入系统的 TCP 数据包，并且目标端口是 80：
[root@server ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT #列出当前 iptables 的所有规则，并显示每条规则的行号
[root@server ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:httpChain FORWARD (policy ACCEPT)
num  target     prot opt source               destinationChain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination#从 INPUT 链中删除第 1 条规则：
[root@server ~]# iptables -D INPUT 1

实验二：禁止所有人ssh远程登录该服务器

#禁止所有人ssh远程登录该服务器（拒绝访问22端口）：
[root@server ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT#从IPINPUT链中删除第一条规则：（这条命令只能在虚拟机中执行，因为前一条命令已经拒绝ssh远程登录）：
[root@server ~]# iptables -D INPUT 1

实验三：禁止192.168。121.11主机地址ssh远程登录该服务器，允许该主机访问服务器的web服务。服务器地址为
192.168.121.10

#拒绝192.168.121.11通过ssh远程连接服务器：
[root@server ~]# iptables -I INPUT -p tcp -s 192.168.121.11 --dport 22 -j REJECT#允许192.168.121.11访问服务器的web服务：
[root@server ~]# iptables -I INPUT -p tcp -s 192.168.121.11 --dport 80 -j ACCEPT

三、firewalld

1. 介绍：
   • 与iptables不同，iptables修改规则需重新完整加载所有规则，可能对运行系统产生不良影响，而firewalld是动态防火墙，规则变更只需保存更新即可，支持IPv4和IPv6设置，还引入了区域概念，即几套防火墙策略集合（策略模板），用户可快速切换。

[root@server ~]# systemctl stop iptables.service
[root@server ~]# systemctl start firewalld.service
[root@server ~]# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; preset: enabled)Active: active (running) since Sun 2024-11-24 17:06:08 CST; 8s ago#查看帮助：
[root@server ~]# firewall-cmd --help#查看所有规则：
[root@server ~]# firewall-cmd --list-all