Linux安全配置之二:Selinux的配置

linux itxz 2个月前 (09-15) 48次浏览 0个评论

selinux是linux系统里的一个安全系统,用一句话来说明的话,它遵循最小化原则,主要的作用就是为了限制访问服务器的资源,进程(端口)等等。

上一篇我们有讲过远程端口修改和防火墙的限制,如果selinux在安装系统的过程中没有被关闭(有些管理员觉得配置麻烦,会直接关闭,这里比较不建议。)有可能出现一个问题,就是我们修改了远程端口(或其它端口),防火墙也设置开放,但是访问这个端口的时候还是不通的。这时候,我们就需要看一下,是不是selinux在起作用了。

以上一篇的服务器为例,在服务器外telnet 23456端口,提示连接失败。
Linux安全配置之二:Selinux的配置

检查配置文件和防火墙,发现设置都是正确的。排除这两个地方,那么就有可能是selinux的问题了。
在服务器中运行:

[root@localhost ~]# getenforce
Enforcing                   //返回结果

说明selinux在运行中。
接着我们可以测试临时关闭selinux后端口能否正常。

[root@localhost ~]#setenforce 0 //临时关闭Selinux
[root@localhost ~]# getenforce
Permissive                                       //返回结果
[root@localhost ~]# systemctl restart sshd  //重启sshd

再次telnet端口
Linux安全配置之二:Selinux的配置
已经可以正常连接了,说明之前是selinux在起作用。接下来我们可以关闭selinux(不建议),或是将端口加入selinux配置文件中

首先,我们安装一下semanage命令,semanage是用来管理selinux端口,消息接口等配置的命令。

[root@localhost ~]#yum -y install policycoreutils-python

注意,有的系统版本过高可能会遇到一个问题,提示:

错误:没有任何匹配: policycoreutils-python

Linux安全配置之二:Selinux的配置
这时我们要改用:

[root@localhost ~]#dnf install policycoreutils-python-utils  //进行安装

Linux安全配置之二:Selinux的配置
完成后,可以测试一下是否可以正常使用

[root@localhost ~]#dnf install policycoreutils-python-utils  //进行安装
[root@localhost ~]#sudo semanage port -l | grep ssh     //测试ssh开放的端口
ssh_port_t                     tcp      22    

Linux安全配置之二:Selinux的配置
测试可以发现semanage命令可以使用了,ssh端口只开放了22,所以我们要对ssh端口进行修改。

[root@localhost ~]#semanage port -a -t ssh_port_t -p tcp 23456    //添加端口
[root@localhost ~]#sudo semanage port -l | grep ssh     //再次测试ssh开放的端口
ssh_port_t                     tcp      23456 ,22   

可以看到端口已加入。之前的默认22端口可以删除,或是在防火墙层面禁用。


IT学者 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Linux安全配置之二:Selinux的配置
喜欢 (1)

您必须 登录 才能发表评论!