security-Enhanced  linux

美国NSA国家局主导开发，一套增强Linux系统安全的强制访问控制体系，

集成到Linux内核（2.6及以上）中运行。

RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略，

以及管理工具。

SELinux的运行模式

enforcing(强制)

permissive（宽松）

disabled（彻底禁用）

getenforce 查看当前SElinux状态

setenforce  0 或 1  设置当前SELinux状态

永久配置：vim /etc/selinux/config

SELINUX=premissive

防火墙策略管理（Firewall）

作用: 隔离

阻止进内网，允许出外网

系统服务器：firewalld

管理工具：  firewall-cmd(命令)

firewall-cmd（图形）

查看防火墙服务状态

systemctl   status   firewalld.service

根据所在的网络场所区分，预设保护规则集。

public：仅允许访问本机的sshd等少数几个服务。

trusted:允许任何访问。

block:拒绝任何来访请求。

drop:丢弃任何来访的数据。

防火墙判断的规则：匹配及停止。

1.首先看请求（客户端）当中的源IP地址，所有区域中是否有

对于该IP地址的策略，如果有则该请求进入该区域。

2.直接进入默认区域。

firewall-cmd  --zone=public  --list-all   查看区域规则信息

firewall-cmd  --zone=public  --add-service=http  添加服务

--permanent 选项：实现永久设置

firewall-cmd  --permanent  --zone=public  --add-service=ftp

firewall-cmd  --reload         重新加载防火墙

修改默认的区域，不需要加上--permanent

firewall-cmd  --set-default-zone=block   修改默认区域

firewall-cmd  --get-default-zone         查看默认区域

实现本机的端口映射

本地应用的端口重定向（端口1---》端口2）

从客户机访问端口1的请求，自动映射到本机端口2。

例：访问两个地址可以看到相同的页面

firefox http://172.25.0.11:5423--->172.25.0.11:80

firewall-cmd --permanent  --zone=public

--add-forward-port=port=5423:proto=tcp:toport=80

firewall-cmd  --reloa

本文转自夜流璃雨 51CTO博客，原文链接：http://blog.51cto.com/13399294/1982664，如需转载请自行联系原作者