深入了解linux下網卡防火墻selinux

在Linux系統中，網絡安全是非常重要的。為了保護系統免受惡意攻擊和未經授權的訪問，我們可以使用防火墻來限制網絡流量。而在Linux下，我們可以使用SELinux（Security-Enhanced Linux）來實現更高級別的安全控制。本文將介紹如何在Linux下配置網卡防火墻和SELinux以增強系統安全性。

一、網卡防火墻

在Linux系統中，我們可以使用iptables工具來配置網卡防火墻。以下是一些常用的iptables命令：

查看當前iptables規則：

sudo iptables -L -n -v

清空當前iptables規則：

sudo iptables -F

設置默認策略為DROP：

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

允許特定IP地址訪問：

sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT

禁止特定端口的訪問：

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

保存當前iptables規則：

sudo service iptables save

恢復默認iptables規則：

sudo service iptables restore

二、SELinux配置

SELinux是一種基于角色的訪問控制（RBAC）系統，它提供了更高級別的安全控制。在Linux系統中，我們可以通過修改配置文件來配置SELinux。以下是一些常用的SELinux配置命令：

查看當前SELinux狀態：

getenforce

臨時關閉SELinux：

sudo setenforce 0

永久關閉SELinux：

編輯/etc/selinux/config文件，將SELINUX=enforcing改為SELINUX=disabled，然后重啟系統。

永久開啟SELinux：

編輯/etc/selinux/config文件，將SELINUX=disabled改為SELINUX=enforcing，然后重啟系統。

設置SELinux策略為寬松模式：

編輯/etc/selinux/config文件，將SELINUXTYPE=targeted改為SELINUXTYPE=minimum，然后重啟系統。

設置SELinux策略為強制模式：

編輯/etc/selinux/config文件，將SELINUXTYPE=minimum改為SELINUXTYPE=targeted，然后重啟系統。

查看當前SELinux策略：

getsebool -a | grep httpd_can_network_connect true /usr/sbin/httpd can network connect --> on; httpd_can_network_connect --> off; ... 
#可以看到當前的SELinux策略是允許httpd訪問網絡的。 true代表啟用，false代表禁用。 #要修改某個策略，可以使用以下命令： setsebool -P httpd_can_network_connect on #永久生效 setsebool -P httpd_can_network_connect on --runtime #臨時生效 setsebool -P httpd_can_network_connect off #永久生效 setsebool -P httpd_can_network_connect off --runtime #臨時生效 #要查看某個策略是否啟用，可以使用以下命令： getsebool httpd_can_network_connect #返回結果類似于這樣： httpd_can_network_connect --> on #表示啟用了httpd訪問網絡的策略。 #要查看所有策略的狀態，可以使用以下命令： sestatus #返回結果類似于這樣： SELinux status:                 enabled #表示SELinux已啟用 SELinuxfs mount:                 /sys/fs/selinux SELinux root directory:         /etc/selinux SELinux config file:           /etc/selinux/config SELinux policy version:        24