linux第八章系统安全

16.4.1  iptables介绍

1．iptables的基本作用

（1）建立Internet防火墙和基本状态的包过滤

（2）用NAT和伪装共享上网

（3）用NAT实现透明代理

（4）可用修改IP包头的TOS字段来实现更复杂的功能

（5）对各种网络地址进行转换

2．iptables的特点

（1）最大优点是可以配置有包过滤功能的防火墙

（2）iptables可以使用户完全控制防火墙的配置和指定特殊规则对信息包进行过滤

（3）用户可以使用iptables命令在用户空间设置过滤规则，并可添加、编辑和删除这些规则

（4）iptables是完全免费的，用其来配置防火墙可以大大节省费用

  Netfilter是用来实现Linux内核中防火墙程序的代码 段。它提供一系列的“表”（tables）。每个“表”由 若干个“链”（chains）组成，而“链”有一个或多个 过滤规则组成。它们之间的关系示意图如下图所示。

16.5  SELinux

SELinux（Security-Enhanced Linux）是美国国家 安全局（NAS）对于强制访问控制的实现，在这种访问 控制体系的限制下，进程只能访问那些在他的任务中所 需要文件。 SELinux的应用特点如下： （1）MAC（Mandatory Access Control） （2） TE（Type Enforcement） （3） RBAC（Role-Base Access Control） （4）安全上下文

1. 类型        类型（组）主要是用来将主体与客体划分为不同的组，而组的 每个主体和系统中的客体定义了一个类型；类型为进程运行提供最 低的权限环境。

2. 角色         SELinux提供了一种依赖于类型强制基于角色的访问控制，角 色用于组域类型和限制域类型与用户之间的关系。

3．SELinux中的用户         SELinux中的用户（user identity）类似Linux系统中的UID，主 要提供身份识别，是安全上下文中的一部分。

SELinux目前有三个安全策略：targeted，strict和mls。

（1）targeted：用来只保护选定的网络服务进程，此为 SELinux的默认值。

（2）strict：用来保护整个Fedora系统。

（3）mls：用来提供符合MLS（Multi-Level Security） 机制的安全性。