第15章

系統(tǒng)安全

openEuler系統(tǒng)管理與服務(wù)器配置目錄15.1項目一：Firewalld配置 15.1.1Linux防火墻工具概述 15.1.2Firewalld介紹15.1.3基于圖形界面的Firewalld配置15.1.4基于命令行界面的Firewalld設(shè)置15.2項目二：SELinux的應(yīng)用15.2.1SELinux的基本概念 15.2.2管理SELinux模式15.2.3管理SELinux上下文15.2.4管理SELinux布爾值本章小結(jié)

15.1項目一：Firewalld配置W公司為了精細控制內(nèi)部網(wǎng)絡(luò)流量，防止未經(jīng)授權(quán)的訪問和潛在的網(wǎng)絡(luò)攻擊，管理員計劃通過配置Firewalld防火墻服務(wù)來限制其他端口的訪問，并放行8080端口的訪問流量，以確保正常業(yè)務(wù)的運行。那么，首先需要啟動Firewalld，并設(shè)置開機自啟動，然后將訪問8080端口的流量管理策略設(shè)置為允許。序號知識點詳見章節(jié)1防火墻概念15.1.1節(jié)2Firewalld的基本概念15.1.2節(jié)3利用圖形界面配置Firewalld15.1.3節(jié)4利用命令行配置Firewalld15.1.4節(jié)15.1.1Linux防火墻工具概述??1.防火墻的“價值與優(yōu)勢”????基礎(chǔ)防線??：網(wǎng)絡(luò)攻擊的第一道屏障（降低入侵概率）??流量控制??：基于協(xié)議/IP/端口的訪問權(quán)限篩選??策略執(zhí)行??：強制實施安全規(guī)則（允許/拒絕服務(wù)與訪問）??低成本高適用??：硬件/軟件形態(tài)靈活，適配不同場景??2.防火墻的“致命短板”????協(xié)議盲區(qū)??：無法識別病毒文件（如郵件/社交工具傳輸?shù)膼阂獬绦颍??內(nèi)部攻擊無效??：對內(nèi)部人員或設(shè)備的違規(guī)行為無防護能力??物理攻擊無能??：無法阻止自然災(zāi)害或人為物理破壞??策略依賴風險??：配置錯誤或漏洞直接導(dǎo)致安全失效??單點失效危機??：僅依賴防火墻=“一堵墻防所有風險”??3.應(yīng)對策略??（解決方案）??縱深防御體系??：防火墻+入侵檢測+終端防護+數(shù)據(jù)加密??動態(tài)安全策略??：定期更新規(guī)則，修復(fù)漏洞??零信任補充??：內(nèi)部網(wǎng)絡(luò)也需身份驗證與最小權(quán)限控制15.1.2Firewalld介紹1.openEuler防火墻架構(gòu)背景????基礎(chǔ)依賴??：基于CentOS，原使用iptables/ip6tables/ebtables/nftables管理規(guī)則，??實際數(shù)據(jù)過濾由內(nèi)核Netfilter子系統(tǒng)實現(xiàn)??。??Firewalld取代傳統(tǒng)工具??：后端默認使用nftables（替代iptables），底層調(diào)用nft命令，規(guī)則處理更高效。核心功能通過firewalldaemon守護進程動態(tài)管理規(guī)則，無需重啟服務(wù)。15.1.2Firewalld介紹??2.Firewalld核心優(yōu)勢（對比傳統(tǒng)防火墻）??動態(tài)規(guī)則更新??：

規(guī)則修改實時生效，無需重啟防火墻服務(wù)或重載內(nèi)核模塊。??區(qū)域化策略管理??：

預(yù)定義區(qū)域（如public、home、dmz），快速適配不同網(wǎng)絡(luò)場景。雙配置模式??：

支持運行時配置（臨時生效）與永久配置（持久化保存）。多接口支持??：

兼容IPv4/IPv6、以太網(wǎng)橋接，提供CLI（firewall-cmd）和GUI配置方式。兼容性限制??：

無法解析通過iptables/ebtables手動添加的規(guī)則。15.1.2Firewalld介紹??3.Firewalld五大核心功能????動態(tài)規(guī)則管理??：

規(guī)則更新實時同步內(nèi)核，避免服務(wù)中斷（傳統(tǒng)工具需重啟）。??命令行與狀態(tài)可視化??： firewall-cmd命令靈活配置，系統(tǒng)托盤實時顯示防火墻狀態(tài)。??虛擬機集成支持??：

通過libvirt接口管理虛擬機防火墻規(guī)則（需PolicyKit權(quán)限）。??全局與進程級規(guī)則??：

支持系統(tǒng)全局規(guī)則和用戶進程獨立規(guī)則配置。??區(qū)域化策略模板??：

按場景選擇區(qū)域（如trusted允許所有流量，block拒絕所有流量），簡化復(fù)雜配置。15.1.3基于圖形界面的Firewalld配置通過執(zhí)行以下命令打開Firewalld圖形界面。#firewall-config圖形界面啟動成功，如下圖所示如果軟件界面是灰色的，則說明防火墻服務(wù)沒有啟動，需要先執(zhí)行#systemctlstartfirewalld命令啟動防火墻，再啟動Firewalld圖形界面15.1.3基于圖形界面的Firewalld配置各模塊功能如下圖：15.1.3基于圖形界面的Firewalld配置各模塊功能介紹如下表：功能序號功能簡介功能序號功能簡介1【運行時】和【永久】模式的配置，【運行時】表示立即生效，【永久】表示重啟后依然生效2可選的策略集合區(qū)域的列表3常用的系統(tǒng)服務(wù)列表4當前正在使用的區(qū)域5管理當前被選中區(qū)域中的服務(wù)6管理當前被選中區(qū)域中的端口7管理當前被選中區(qū)域的協(xié)議8管理當前被選中區(qū)域的源端口9管理當前被選中區(qū)域的偽裝10管理當前被選中區(qū)域的端口轉(zhuǎn)發(fā)11管理當前被選中區(qū)域的ICMP過濾器12管理當前被選中區(qū)域的富規(guī)則13管理當前被選中區(qū)域的網(wǎng)卡14管理當前被選中區(qū)域的來源15被選中區(qū)域的服務(wù)列表16防火墻的運行狀態(tài)15.1.3基于圖形界面的Firewalld配置1．開通端口轉(zhuǎn)發(fā)功能在【區(qū)域】下單擊【public】，并在右側(cè)選擇【端口轉(zhuǎn)發(fā)】，如圖15.4所示。然后單擊左下角的【添加】按鈕，彈出端口轉(zhuǎn)發(fā)配置窗口。首先配置【來源】部分，【協(xié)議】下拉框選擇“tcp”，【端口或端口范圍】輸入“9000”。然后配置【目標地址】部分，在【端口或端口范圍】處輸入“22”，最后單擊【確定】按鈕。15.1.3基于圖形界面的Firewalld配置2．開通服務(wù)和端口以http服務(wù)為例介紹如何在Firewalld上開通服務(wù)和端口8080。在Firewalld上開啟http服務(wù)及端口，并使所開啟的服務(wù)和端口立即生效，可以在【區(qū)域】下單擊【public】，并在右側(cè)的【服務(wù)】中找到【http】并將其勾選上，然后單擊【端口】，在該界面中單擊【添加】按鈕，在彈出界面中的【端口或端口范圍】處輸入端口范圍“8080-8088”，并在【協(xié)議】處選擇“tcp”，然后單擊【確定】按鈕，則開通了服務(wù)和端口8080。為了使這個設(shè)置立即生效，可以在【配置】處將其狀態(tài)改為【運行時】，如果要將該http服務(wù)及其端口設(shè)置為永久使用，則選擇【永久】。15.1.3基于圖形界面的Firewalld配置3．啟動偽裝功能偽裝（Masquerading）是一種網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，它允許局域網(wǎng)內(nèi)的多個設(shè)備共享一個公網(wǎng)IP地址進行上網(wǎng)。當局域網(wǎng)內(nèi)的設(shè)備向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時，偽裝功能會將數(shù)據(jù)包的源IP地址更改為公網(wǎng)IP地址，并記錄下原始的源IP地址和端口號，以便在接收到響應(yīng)數(shù)據(jù)包時能夠正確地將數(shù)據(jù)包轉(zhuǎn)發(fā)給局域網(wǎng)內(nèi)的目標設(shè)備。啟用偽裝功能，可以【區(qū)域】下單擊【public】，然后單擊【偽裝】，并在下方勾選【偽裝區(qū)域】，如下圖15.1.4基于命令行界面的Firewalld設(shè)置命令行界面的Firewalld設(shè)置使用firewall-cmd命令完成本，其參數(shù)通常采用長格式提供1．Firewalld的命令及其作用獲取當前支持的區(qū)域列表

#firewall-cmd--get-zones//獲取當前支持的區(qū)域列表査看當前區(qū)域#firewall-cmd--get-active-zones顯示公共區(qū)域的相關(guān)信息#firewall-cmd--zone=public--list-all設(shè)置默認域為家庭域，即home#firewall-cmd--set-default-zone=home設(shè)置當前區(qū)域的接口#firewall-cmd--get-zone-of-interface=ens34臨時修改網(wǎng)絡(luò)接口為內(nèi)部區(qū)域#firewall-cmd--zone=internal--change-interface=ens34永久修改網(wǎng)絡(luò)接口為內(nèi)部區(qū)域#firewall-cmd--permanent--zone=internal--change-interface=ens3415.1.4基于命令行界面的Firewalld設(shè)置2．Firewalld規(guī)則維護管理防火墻中的端口在防火墻中打開443的TCP端口#firewall-cmd--add-port=443/tcp在防火墻上打開一個永久性的3306的TCP端口#firewall-cmd--permanent--add-port=3306/tcp在防火墻上打開永久性端口并不會立即生效，需要執(zhí)行命令來重載防火墻配置，使端口生效，再次查詢就可以看到新打開的端口#firewall-cmd--reload#firewall-cmd--zone=public--list-all刪除防火墻上的TCP端口#firewall-cmd--remove-port=3306/tcp//刪除TCP協(xié)議上的3306端口#firewall-cmd--zone=public--list-all管理防火墻中的服務(wù)查看系統(tǒng)當前支持的所有服務(wù)#firewall-cmd--get-services15.1.4基于命令行界面的Firewalld設(shè)置2．Firewalld規(guī)則維護設(shè)置局域網(wǎng)中的IP偽裝功能開啟public域中的IP偽裝功能#firewall-cmd--zone=public--add-masquerade#firewall-cmd--zone=public--list-all禁用public域中的IP偽裝功能#firewall-cmd--zone=public--remove-masquerade內(nèi)網(wǎng)地址向外訪問時會被隱藏并映射到一個公有IP地址上，這種地址轉(zhuǎn)換的方式通常用于路由，不過因為受到內(nèi)核的限制，偽裝功能僅能在IPv4上使用向防火墻中添加一個http服務(wù)#firewall-cmd--add-service=http關(guān)閉這個臨時的服務(wù)#firewall-cmd--remove-service=http防火墻上添加一個永久性的服務(wù)#firewall-cmd--permanent--add-service=http15.1.4基于命令行界面的Firewalld設(shè)置2．Firewalld規(guī)則維護管理防火墻中的端口與IP地址規(guī)則設(shè)置添加一條規(guī)則，將到達防火墻端口22的流量轉(zhuǎn)發(fā)到IP地址為30主機的22端口上#firewall-cmd--zone=public--add-forward-port=port=22:proto=tcp:toaddr=30當不再需要轉(zhuǎn)發(fā)功能時，可以使用remove參數(shù)替換add來清除這條規(guī)則#firewall-cmd--zone=public--remove-forward-port=port=22:proto=tcp:toaddr=30Firewalld還可以用另外兩個選項來添加防火墻規(guī)則直接規(guī)則富規(guī)則15.2 項目二：SELinux的應(yīng)用W公司為了提升Web服務(wù)器的安全性，防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露，管理員計劃在公司的Linux服務(wù)器上配置SELinux。他首先為Web服務(wù)器Apache的文檔根目錄/var/www/html設(shè)置正確的SELinux文件上下文，然后配置SELinux相關(guān)布爾值，允許httpd服務(wù)進行網(wǎng)絡(luò)連接。序號知識點詳見章節(jié)1SELinux的基本概念15.2.1節(jié)2管理SELinux模式15.2.2節(jié)3管理SELinux上下文15.2.3節(jié)4管理SELinux布爾值15.2.4節(jié)15.2.1SELinux的基本概念??SELinux介紹????定義??：NSA與Linux社區(qū)聯(lián)合開發(fā)的??強制訪問控制（MAC）??安全框架??地位??：RHEL4+默認安全組件，Linux安全里程碑??核心能力??細粒度權(quán)限控制（限制進程/用戶資源訪問）提供安全策略框架+用戶層工具鏈Linux傳統(tǒng)安全短板（SELinux解決目標）??特權(quán)濫用風險??：root用戶權(quán)限無邊界權(quán)限提升漏洞??：SUID程序易被惡意利用??DAC模式缺陷??：文件所有者自由控制（易誤配置/越權(quán)）傳統(tǒng)防火墻局限??：僅防護網(wǎng)絡(luò)層，無法阻止內(nèi)部攻擊SELinux核心價值????最小權(quán)限原則??：進程僅能訪問必需資源（防越權(quán)）??策略強制隔離??：阻斷SUID漏洞利用、root濫用等風險??超越DAC??：管理員統(tǒng)一管控策略，用戶無權(quán)繞過?縱深防御??：與防火墻互補，覆蓋系統(tǒng)層安全15.2.1SELinux的基本概念SELinux的3種狀態(tài)模式Enforcing模式這是SELinux的默認狀態(tài)模式，在這種模式下，SELinux會根據(jù)加載的安全策略強制執(zhí)行所有的訪問控制。任何違反安全策略的行為都會被禁止，并且相應(yīng)的訪問拒絕會被記錄在日志中。Enforcing模式適用于需要高安全性的環(huán)境，如生產(chǎn)服務(wù)器等Permissive模式在這種模式下，SELinux會加載安全策略，并且記錄違反安全策略的行為，但不會實際阻止這些行為。Permissive模式適合用于開發(fā)和測試，因為它允許系統(tǒng)管理員觀察哪些訪問會被阻止，而不會影響系統(tǒng)的正常運行，或需要臨時放寬安全限制的場景。Disabled模式在這種模式下，SELinux不會執(zhí)行任何訪問控制，所有的訪問請求都不會被SELinux攔截。這種模式會降低系統(tǒng)的安全性，因此只有在特殊情況下才會使用。Disabled模式適用于不需要SELinux保護的環(huán)境或需要臨時關(guān)閉SELinux進行某些操作的場景15.2.1SELinux的基本概念SELinux的常用術(shù)語 1.對象（Object）????

定義??：被保護的??系統(tǒng)資源??（文件/進程/端口等）?? 2.類型（Type）????

定義??：資源/進程的??權(quán)限標簽??（如httpd_t表示W(wǎng)eb服務(wù)進程）?? 3.域（Domain）????

定義??：進程的??運行環(huán)境標簽??（如user_t表示普通用戶進程域）?? 4.安全上下文（Context）????

格式??：user:role:type（例：system_u:system_r:httpd_t）??

??5.安全級別（Level）????

定義??：多級安全模型中的??敏感度標識??（例：s0（低）→s1（高））???? 6.訪問向量規(guī)則（AVRules）????

語法??：allow源類型目標類型:資源類{權(quán)限}?? 7.類型規(guī)則（TypeRules）????

核心規(guī)則??：type_transition（類型轉(zhuǎn)換）??15.2.1SELinux的基本概念類型強制訪問控制（TypeEnforcement，TE）1.強制訪問控制（MAC）核心特性????細?策略集中管控??：安全策略由管理員統(tǒng)一設(shè)定，??用戶無權(quán)繞過??。粒度控制??：對文件、進程、端口等資源實現(xiàn)??最小權(quán)限原則??。??2.類型強制（TE）機制????類型標簽??：主體??（進程）：標記為域（如httpd_t）??客體??（資源）：標記為類型（如httpd_sys_content_t）訪問向量規(guī)則??：語法??：allow源域目標類型:資源類{權(quán)限}作用??：嚴格定義“??誰能訪問什么，如何訪問??”。??3.訪問控制流程????請求觸發(fā)??：進程（域）嘗試訪問資源（對象）。??策略檢查??：內(nèi)核比對域與對象的類型標簽及規(guī)則。權(quán)限裁決??：僅當規(guī)則允許時，訪問才被授權(quán)。?15.2.1SELinux的基本概念類型強制訪問控制（TypeEnforcement，TE）?4.典型案例：Apache服務(wù)安全????進程域??：httpd_t（定義Apache進程權(quán)限）??資源類型??：httpd_sys_content_t：網(wǎng)頁文件（僅讀）shadow_t：密碼文件（受限讀）http_port_t：80端口（綁定權(quán)限）關(guān)鍵規(guī)則??allowhttpd_thttp_port_t:tcp_socket{name_bind}#允許綁定80端口allowhttpd_thttpd_sys_content_t:file{read}#允許讀取網(wǎng)頁文件

5.域遷移（防止權(quán)限升級）????場景??：限制高風險域（如fu_t）執(zhí)行文件后的權(quán)限擴散??規(guī)則示例??：domain_auto_trans(fu_t,azureus_exec_t,azureus_t)15.2.1SELinux的基本概念基于角色的訪問控制（RBAC）1.RBAC核心原理????權(quán)限分層??：角色（Role）→用戶（User）→權(quán)限（Permission??簡化管理??：管理員分配權(quán)限至角色，用戶綁定角色（而非直接授予權(quán)限）。??最小特權(quán)原則??：root用戶未分配角色時，??無法越權(quán)操作??（如sysadm_r角色專屬管理）2.角色策略示例解析??代碼片段??：modulesysadm1.0;require{typesysadm_t;typeadmin_exec_t;classprocesstransition;}#授權(quán)邏輯：允許sysadm_r角色執(zhí)行admin_exec_t程序并轉(zhuǎn)換進程類型allowsysadm_radmin_exec_t:processtransition;功能說明??：角色限制??：僅sysadm_r角色用戶可執(zhí)行指定程序。??阻斷root濫用??：即使root用戶未綁定sysadm_r，也??無法繞過策略??。15.2.1SELinux的基本概念SELinux初始化的過程1.啟動準備??內(nèi)核加載??：啟動systemd服務(wù)，掛載procfs并檢測內(nèi)核是否支持SELinuxfs。支持??：繼續(xù)初始化SELinux；不支持??：跳過SELinux，直接進入系統(tǒng)初始化。??2.啟用決策??配置文件??：讀取/etc/selinux/config或內(nèi)核參數(shù)，判斷是否啟用SELinux。啟用??：繼續(xù)執(zhí)行后續(xù)步驟；禁用??：跳至步驟7，完成普通系統(tǒng)初始化。??3.模式設(shè)置??初始模式??：默認為??Permissive模式??（僅記錄違規(guī)，不阻止）。切換Enforcing??：根據(jù)/etc/sysconfig/selinux或內(nèi)核參數(shù)，若配置為enforcing，則強制攔截違規(guī)操作。??4.掛載關(guān)鍵文件系統(tǒng)??SELinuxfs掛載??：掛載至/sys/fs/selinux，提供策略交互接口。??5.策略加載????策略類型選擇??：基于SELINUXTYPE=TYPE參數(shù)（如targeted/strict）。??策略文件路徑??：/etc/selinux/[TYPE]/policy/policy.VERSION，按版本加載。??6.上下文初始化??默認上下文配置??：讀取/etc/selinux/[TYPE]/contexts/文件，設(shè)置系統(tǒng)核心進程（如systemd）的安全上下文。systemd默認上下文??：user_u:system_t:unconfined_t，必要時自動重啟以生效新上下文。??7.完成初始化??環(huán)境就緒??：SELinux策略生效，systemd繼續(xù)執(zhí)行常規(guī)系統(tǒng)啟動流程（掛載文件系統(tǒng)、啟動服務(wù)等）。15.2.2管理SELinux模式SELinux狀態(tài)與模式啟用??Enforcing模式??：攔截違規(guī)操作，記錄日志（強制禁止）Permissive模式??：允許違規(guī)操作，僅記錄日志（警告模式）停用內(nèi)核不加載SELinux，無法實施訪問控制（需??重啟生效??）

狀態(tài)查看命令?快速查看當前模式??getenforce#輸出：Enforcing/Permissive/Disabled詳細信息查看??

sestatus-v#顯示掛載點、配置模式、策略版本等15.2.2管理SELinux模式狀態(tài)切換方法臨時切換??（重啟失效）echo0>/sys/fs/selinux/enforce#Permissive模式echo1>/sys/fs/selinux/enforce#Enforcing模式永久配置??（需重啟生效）配置文件??：/etc/selinux/configELINUX=enforcing|permissive|disabled#狀態(tài)模式SELINUXTYPE=targeted|strict#策略類型（默認targeted）15.2.2管理SELinux模式手動修改SELinux的狀態(tài)模式??查看當前模式??：getenforce#輸出當前模式動態(tài)切換模式??：setenforce0#切換至Permissivesetenforce1#切換至Enforcing15.2.3管理SELinux上下文安全上下文結(jié)構(gòu)?格式??：user:role:type[:sensitivity[:category]]參數(shù)解釋user標識登錄系統(tǒng)的用戶類型，類似Linux系統(tǒng)中的UID，用于身份識別。常見的有system_u（系統(tǒng)用戶）、user_u（普通用戶）、root等role定義文件、進程和用戶的用途，如system_r（系統(tǒng)進程）、object_r（文件或目錄）等。role在大多數(shù)策略中并不直接用于訪問控制，而是作為RBAC（基于角色的訪問控制）的一部分type指定數(shù)據(jù)類型，是安全上下文中最重要的部分。進程的類型被稱為域（Domain），而文件或目錄的類型直接稱為類型（Type）。類型強制訪問控制（TE）是SELinux的核心機制sensitivity定義訪問控制的安全級別，如s0到s15，其中s0是最低級別。這個字段是可選的，用于多級安全（MLS）策略中category用于進一步細分訪問控制的分類，如c0到c1023，也是可選的，同樣用于MLS策略中15.2.3管理SELinux上下文查看安全上下文?文件/目錄ls-Z/path/to/file#查看文件安全上下文ls-Zd/path/to/directory#僅查看目錄自身安全上下文示例??

ls-Z/var/www/html/index.html→system_u:object_r:httpd_sys_content_t:s0進程ps-eZ#顯示所有進程的安全上下文

??輸出示例??system_u:system_r:httpd_t:s0/usr/s