security-Enhanced linux

美國NSA國家局主導開發，一套增強Linux系統安全的強制訪問控制體系，

集成到Linux內核（2.6及以上）中運行。

RHEL7基於SELinux體系針對用戶、進程、目錄和文件提供了預設的保護策略，

以及管理工具。

SELinux的運行模式

enforcing(強制)

permissive（寬松）

disabled（徹底禁用）

getenforce 查看當前SElinux狀態

setenforce 0 或 1 設置當前SELinux狀態

永久配置：vim /etc/selinux/config

SELINUX=premissive

防火墻策略管理（Firewall）

作用: 隔離

阻止進內網，允許出外網

系統服務器：firewalld

管理工具： firewall-cmd(命令)

firewall-cmd（圖形）

查看防火墻服務狀態

systemctl status firewalld.service

根據所在的網絡場所區分，預設保護規則集。

public：僅允許訪問本機的sshd等少數幾個服務。

trusted:允許任何訪問。

block:拒絕任何來訪請求。

drop:丟棄任何來訪的數據。

防火墻判斷的規則：匹配及停止。

1.首先看請求（客戶端）當中的源IP地址，所有區域中是否有

對於該IP地址的策略，如果有則該請求進入該區域。

2.直接進入默認區域。

firewall-cmd --zone=public --list-all 查看區域規則信息

firewall-cmd --zone=public --add-service=http 添加服務

--permanent 選項：實現永久設置

firewall-cmd --permanent --zone=public --add-service=ftp

firewall-cmd --reload 重新加載防火墻

修改默認的區域，不需要加上--permanent

firewall-cmd --set-default-zone=block 修改默認區域

firewall-cmd --get-default-zone 查看默認區域

實現本機的端口映射

本地應用的端口重定向（端口1---》端口2）

從客戶機訪問端口1的請求，自動映射到本機端口2。

例：訪問兩個地址可以看到相同的頁面

firefox http://172.25.0.11:5423--->172.25.0.11:80

firewall-cmd --permanent --zone=public

--add-forward-port=port=5423:proto=tcp:toport=80

firewall-cmd --reloa

linux的SELinux的設置及防火墻服的設置