深入了解linux下网卡防火墙selinux

深入了解linux下网卡防火墙selinux

在Linux系统中，网络安全是非常重要的。为了保护系统免受恶意攻击和未经授权的访问，我们可以使用防火墙来限制网络流量。而在Linux下，我们可以使用SELinux（Security-Enhanced Linux）来实现更高级别的安全控制。本文将介绍如何在Linux下配置网卡防火墙和SELinux以增强系统安全性。

一、网卡防火墙

在Linux系统中，我们可以使用iptables工具来配置网卡防火墙。以下是一些常用的iptables命令：

查看当前iptables规则：

sudo iptables -L -n -v

清空当前iptables规则：

sudo iptables -F

设置默认策略为DROP：

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

允许特定IP地址访问：

sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT

禁止特定端口的访问：

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

保存当前iptables规则：

sudo service iptables save

恢复默认iptables规则：

sudo service iptables restore

二、SELinux配置

SELinux是一种基于角色的访问控制（RBAC）系统，它提供了更高级别的安全控制。在Linux系统中，我们可以通过修改配置文件来配置SELinux。以下是一些常用的SELinux配置命令：

查看当前SELinux状态：

getenforce

临时关闭SELinux：

sudo setenforce 0

永久关闭SELinux：

编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=disabled，然后重启系统。

永久开启SELinux：

编辑/etc/selinux/config文件，将SELINUX=disabled改为SELINUX=enforcing，然后重启系统。

设置SELinux策略为宽松模式：

编辑/etc/selinux/config文件，将SELINUXTYPE=targeted改为SELINUXTYPE=minimum，然后重启系统。

设置SELinux策略为强制模式：

编辑/etc/selinux/config文件，将SELINUXTYPE=minimum改为SELINUXTYPE=targeted，然后重启系统。

查看当前SELinux策略：

getsebool -a | grep httpd_can_network_connect true /usr/sbin/httpd can network connect --> on; httpd_can_network_connect --> off; ... 
#可以看到当前的SELinux策略是允许httpd访问网络的。 true代表启用，false代表禁用。 #要修改某个策略，可以使用以下命令： setsebool -P httpd_can_network_connect on #永久生效 setsebool -P httpd_can_network_connect on --runtime #临时生效 setsebool -P httpd_can_network_connect off #永久生效 setsebool -P httpd_can_network_connect off --runtime #临时生效 #要查看某个策略是否启用，可以使用以下命令： getsebool httpd_can_network_connect #返回结果类似于这样： httpd_can_network_connect --> on #表示启用了httpd访问网络的策略。 #要查看所有策略的状态，可以使用以下命令： sestatus #返回结果类似于这样： SELinux status:                 enabled #表示SELinux已启用 SELinuxfs mount:                 /sys/fs/selinux SELinux root directory:         /etc/selinux SELinux config file:           /etc/selinux/config SELinux policy version:        24