security-Enhanced  linux

  美国NSA国家局主导开发,一套增强Linux系统安全的强制访问控制体系,

  集成到Linux内核(2.6及以上)中运行。

  RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,

  以及管理工具。

  

     SELinux的运行模式

     enforcing(强制)

     permissive(宽松)

     disabled(彻底禁用)

     getenforce 查看当前SElinux状态

     setenforce  0 或 1  设置当前SELinux状态

    

   永久配置:vim /etc/selinux/config

             SELINUX=premissive

           

    防火墙策略管理(Firewall)

    作用: 隔离

    阻止进内网,允许出外网

    系统服务器:firewalld

    管理工具:  firewall-cmd(命令)

                firewall-cmd(图形)

    

    查看防火墙服务状态 

     systemctl   status   firewalld.service

     

    根据所在的网络场所区分,预设保护规则集。

      public:仅允许访问本机的sshd等少数几个服务。

      trusted:允许任何访问。

      block:拒绝任何来访请求。

      drop:丢弃任何来访的数据。

     

     防火墙判断的规则:匹配及停止。

      1.首先看请求(客户端)当中的源IP地址,所有区域中是否有

     对于该IP地址的策略,如果有则该请求进入该区域。

      2.直接进入默认区域。

      

     firewall-cmd  --zone=public  --list-all   查看区域规则信息

     firewall-cmd  --zone=public  --add-service=http  添加服务

     --permanent 选项:实现永久设置

     firewall-cmd  --permanent  --zone=public  --add-service=ftp 

     firewall-cmd  --reload         重新加载防火墙   

     

     修改默认的区域,不需要加上--permanent

     firewall-cmd  --set-default-zone=block   修改默认区域

     firewall-cmd  --get-default-zone         查看默认区域


     实现本机的端口映射

     本地应用的端口重定向(端口1---》端口2)

     从客户机访问端口1的请求,自动映射到本机端口2。

  例:访问两个地址可以看到相同的页面

      firefox http://172.25.0.11:5423--->172.25.0.11:80

      firewall-cmd --permanent  --zone=public

       --add-forward-port=port=5423:proto=tcp:toport=80

      firewall-cmd  --reloa