当前位置: 首页 > news >正文

selinux和防火墙实验

news 2025/7/27 21:15:35
1 selinux 的说明
SELinux Security-Enhanced Linux 的缩写,意思是安全强化的 linux
SELinux 主要由美国国家安全局( NSA )开发,当初开发的目的是为了避免资源的误用。
系统资源都是通过程序进行访问的,如果将 /var/www/html/ 权限设置为 777 ,代表所有程序均可对该目录访问,如果已经启动www 服务器软件,那么该软件触发的进程将可以写入该目录,而该进程是对整个internet 提供服务的。 NSA 为了控制这方面的权限与进程的问题,就使用 linux 来作为研究目标,最后将研究的成果整合到linux 内核里面去,也就是 SELinux
SELinux 是对程序、文件等权限设置依据的一个内核模块。由于启动网络服务的也是程序,因此刚好也是能够控制网络服务能否访问系统资源的一道关卡。
传统的文件权限与账号的关系:自主访问控制, DAC Discretionary Access Control )。当某个进程想要对文件进行访问时,系统就会根据该进程的所有者/ 用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。各种权限设置对root 用户是无效的。
以策略规则制定特定程序读取特定文件:强制访问控制, MAC Mandatory Access Control )。 MAC 可以针对特定的进程与特定的文件资源来进行权限的控制。也就是说,即使你是root ,在使用不同的进程时,你所能取得的权限并不一定是root ,而得要看当时该进程的设置而定。如此一来,就可以针对进程而不是用户对文件来进行访问控制。此外,这个进程也不能任意使用系统文件资源,因为每个文件资源也有针对进程设置可取用的权限。由于,整个系统进程那么多,文件那么多,所以SELinux 也提供一些默认的策略(policy ),并在该策略内提供多个规则,让你可以选择是否启用该控制规则。
2 selinux 的工作原理
主体( subject ):就是进程
目标( object ):被主体访问的资源,可以是文件、目录、端口等。
策略( policy ):由于进程与文件数量庞大,因此 SELinux 会依据某些服务来制定基本的访问安全策略。
这些策略内还会有详细的规则( rule )来指定不同的服务开放某些资源的访问与否。目前主要的策略有:
  • targeted:针对网络服务限制较多,针对本机限制较少,是默认的策略;
  • strict:完整的SELinux限制,限制方面较为严格。 安全上下文(security context):主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能够顺利访问。 
    #查看文件的安全上下文
[root@localhost ~]# ls -Z
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home
    访问过程:
    1 )首先,触发具有 httpd_exec_t 这个类型的 /usr/sbin/httpd 这个可执行文件;
    2 )该文件的类型会让这个文件所造成的主体进程具有 httpd 这个域,我们的策略已经针对这个域制定
    了许多规则,其中包括这个域可以读取的目标资源类型;
    3 )由于 httpd domain 被设置为可读取 httpd_sys_content_t 这个类型的目标文件,因此 httpd 进程就
    能够读取在 /var/www/html/ 目录下面的文件了;
    4 )最终能否读到 /var/www/html/ 目录下面的数据,还要看 rwx 是否符合 linux 权限的规范。
selinux的启动
[root@localhost ~] # vim /etc/selinux/config         //查看
disabled :关闭, SELinux 并没有实际运行
selinux linux 服务的影响 
[root@localhost ~]# getenforce 
Enforcing
[root@localhost ~]# cat /etc/nginx/conf.d/test_ip.conf 
server {listen 192.168.137.100:80;root /www/ip/100;
}
server {listen 192.168.137.200:80;root /www/ip/200;location / {}
}
[root@localhost ~]# mkdir -pv /www/ip/{100,200}
[root@localhost ~]# echo this is 100 > /www/ip/100/index.html
[root@localhost ~]# echo this is 200 > /www/ip/200/index.html
[root@localhost ~]# systemctl restart nginx
[root@localhost ~]# chcon -t httpd_sys_content_t /www/ -R
[root@localhost ~]# chcon -R --reference=/usr/share/nginx/html/index.html
/www
[root@localhost ~]# vim /etc/httpd/conf.d/host.conf
[root@master-dns ~]# cat /etc/nginx/conf.d/test_port.conf
server {
listen 192.168.137.135:80;
root /www/port/80;
location / {}
}
server {
listen 192.168.137.135:10000;
root /www/port/10000;
location / {}
}
[root@localhost ~]# mkdir -pv /www/port/{80,10000}
[root@localhost ~]# echo the port is 80 > /www/port/80/index.html
[root@localhost ~]# echo the port is 10000 > /www/port/10000/index.html
[root@master-dns ~]# systemctl restart nginx
#服务重启失败,查看日志
[root@localhost ~]# tail -f /var/log/messages
#添加10000端口为服务端口:
[root@localhost ~]# semanage port -a -t http_port_t -p tcp 10000
[root@master-dns ~]# systemctl restart nginx
[root@master-dns ~]# curl 192.168.137.135:10000
the port is 10000

防火墙

1 、什么是防火墙
防火墙:防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。
防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers 都可以称为软件防火墙。这儿 主要介绍linux系统本身提供的软件防火墙的功能,那就是Netfilter,即数据包过滤机制。
数据包过滤,也就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决定该连 接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据,包括硬件地址,软件地址,TCP、 UDP ICMP 等数据包的信息都可以进行过滤分析,因此用途非常广泛(主要分析 OSI 七层协议的2、 3 4 层)。由此可知, linux Netfilter 机制可以进行的分析工作有:
拒绝让 Internet 的数据包进入主机的某些端口;
拒绝让某些来源 ip 的数据包进入;
拒绝让带有某些特殊标志( flag )的数据包进入,最常拒绝的就是带有 SYN 的主动连接的标志了;
分析硬件地址( MAC )来决定连接与否。 
实验一:搭建web服务,设置任何人能够通过80端口访问
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -L --line-numbers
[root@localhost ~]# iptables -D INPUT 1实验二:禁止所有人ssh远程登录该服务器
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT
[root@localhost Desktop]# iptables -D INPUT 1实验三:禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为
172.24.8.128
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 22 -j
REJECT
允许172.24.8.129访问服务器的web服务:
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 80 -j
ACCEPT

http://www.lryc.cn/news/493613.html

相关文章:

  • k8s Init:ImagePullBackOff 的解决方法
  • Spring AOP相关知识详解
  • selinux和防火墙
  • 【vue for beginner】Composition API 和 Options API 的区别
  • jmeter5.6.3安装教程
  • 关于Spring基础了解
  • 输入json 达到预览效果
  • DataLoade类与list ,iterator ,yield的用法
  • model_selection.train_test_split函数介绍
  • Springboot 读取 resource 目录下的Excel文件并下载
  • SQL EXISTS 子句的深入解析
  • 33.Java冒泡排序
  • Docker容器ping不通外网问题排查及解决
  • JavaScript 库 number-precision 如何使用?
  • faiss库中ivf-sq(ScalarQuantizer,标量量化)代码解读-2
  • 性能测试工具Grafana、InfluxDB和Collectd的搭建
  • 【ruby on rails】dup、deep_dup、clone的区别
  • 原生微信小程序画表格
  • Python实现IP代理池
  • 互联网直播/点播EasyDSS视频推拉流平台视频点播有哪些技术特点?
  • 32.4 prometheus存储磁盘数据结构和存储参数
  • C7.【C++ Cont】范围for的使用和auto关键字
  • 联通云服务器部署老项目tomcat记录
  • 剪映自动批量替换视频、图片素材教程,视频批量复刻、混剪裂变等功能介绍
  • el-dialog中调用resetFields()方法重置表单报错
  • 分布式系统接口,如何避免重复提交
  • AI 声音:数字音频、语音识别、TTS 简介与使用示例
  • 【论文速读】| 人工智能驱动的网络威胁情报自动化
  • 什么是域名监控?
  • vue3 发送 axios 请求时没有接受到响应数据