Linux系統(tǒng)管理基礎(chǔ)項(xiàng)目教程（CentOS7.2）（微課版）課件 09 防火墻配置與管理

第9章

防火墻配置與管理Linux系統(tǒng)管理基礎(chǔ)項(xiàng)目教程（CentOS7.2）（微課版）知識(shí)要點(diǎn)8.1項(xiàng)目描述8.2知識(shí)準(zhǔn)備9.2.1防火墻分類9.2.2Linux防火墻簡(jiǎn)介9.2.3firewalld防火墻簡(jiǎn)介9.2.4SELinux簡(jiǎn)介9.3項(xiàng)目實(shí)施9.3.1firewalld防火墻管理9.3.2富規(guī)則和端口轉(zhuǎn)發(fā)9.3.3管理SELinux上下文9.3.4管理SELinux端口標(biāo)記9.4項(xiàng)目實(shí)訓(xùn)目錄9.1項(xiàng)目描述小明所在公司進(jìn)行系統(tǒng)安全等級(jí)保護(hù)測(cè)試，測(cè)試結(jié)果表明，公司網(wǎng)絡(luò)和服務(wù)器需要進(jìn)行系統(tǒng)安全加固。小明作為數(shù)據(jù)中心系統(tǒng)工程師制訂了安全加固方案，利用系統(tǒng)防火墻工具和服務(wù)來保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)免受外網(wǎng)的威脅和入侵，并實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶的訪問控制。本項(xiàng)目主要介紹系統(tǒng)防火墻特點(diǎn)和基本概念，使用Linux系統(tǒng)防火墻firewalld管理防火墻的規(guī)則，如何限制網(wǎng)絡(luò)服務(wù)的訪問權(quán)限，如何配置網(wǎng)絡(luò)服務(wù)端口和IP地址網(wǎng)絡(luò)權(quán)限，解決公司網(wǎng)絡(luò)和服務(wù)器的安全問題。9.2知識(shí)準(zhǔn)備9.2.1防火墻分類防火墻是部署在網(wǎng)絡(luò)邊界上的一種安全系統(tǒng)，其概念比較寬泛，根據(jù)需求的不同，它可以工作在開放式系統(tǒng)互聯(lián)（OpenSystemInterconnection，OSI）網(wǎng)絡(luò)模型的一層或多層上。一般情況下，防火墻會(huì)和路由器搭配使用，或者說路由器能夠承擔(dān)部分防火墻的功能，從而對(duì)網(wǎng)絡(luò)進(jìn)行隔離。根據(jù)實(shí)現(xiàn)方式和功能的不同，防火墻可以分為3種類型：包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻和狀態(tài)檢測(cè)防火墻。不同的防火墻在性能和防護(hù)能力上有各自的特點(diǎn)，適用于不同的場(chǎng)合。防火墻分類如圖所示。9.2知識(shí)準(zhǔn)備包過濾防火墻工作在網(wǎng)絡(luò)層和傳輸層上。在這兩個(gè)層級(jí)中，網(wǎng)絡(luò)請(qǐng)求都是以TCP或者UDP數(shù)據(jù)包的形式進(jìn)行流動(dòng)的。應(yīng)用網(wǎng)關(guān)防火墻以代理的模式工作在應(yīng)用層。所謂“代理”，即接收客戶端發(fā)出的請(qǐng)求，然后以客戶端的身份將請(qǐng)求再發(fā)往服務(wù)端。狀態(tài)檢測(cè)防火墻是包過濾防火墻的一種升級(jí)，它同樣工作在網(wǎng)絡(luò)層和傳輸層上。狀態(tài)檢測(cè)防火墻和包過濾防火墻最大的不同在于，它會(huì)以連接的形式來“看待”低層級(jí)的TCP和UDP數(shù)據(jù)包。9.2知識(shí)準(zhǔn)備9.2.2Linux防火墻簡(jiǎn)介L(zhǎng)inux系統(tǒng)內(nèi)核中包含netfilter，它是網(wǎng)絡(luò)流量操作（如數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換和端口轉(zhuǎn)換）的框架。

1

2

防火墻軟件使用這些Hook（掛鉤，指通過攔截軟件模塊間的函數(shù)調(diào)用、消息傳遞、事件傳遞來修改或擴(kuò)展操作系統(tǒng)、應(yīng)用程序或其他軟件的行為的各種技術(shù)）來注冊(cè)過濾規(guī)則和數(shù)據(jù)包修改功能，以便對(duì)經(jīng)過網(wǎng)絡(luò)堆棧的每個(gè)數(shù)據(jù)包進(jìn)行處理。在到達(dá)用戶空間組件或應(yīng)用之前，任何傳入、傳出或轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包都可以通過編程方式來檢查、修改、丟棄或路由。netfilter是RHEL8防火墻的主要組件。

3

Linux系統(tǒng)內(nèi)核中還包含nftables，這是一個(gè)新的過濾器和數(shù)據(jù)包分類子系統(tǒng)，其增強(qiáng)了netfilter的部分代碼，但仍保留了netfilter的架構(gòu)，如網(wǎng)絡(luò)堆棧Hook、連接跟蹤系統(tǒng)及日志記錄功能。

4

nftables與原始netfilter之間的另一個(gè)主要區(qū)別是它們的接口。netfilter通過多個(gè)實(shí)用程序框架進(jìn)行配置。nftables則使用單個(gè)nft用戶空間使用程序，通過一個(gè)接口來管理所有協(xié)議，由此解決了以往不同全段和多個(gè)netfileter接口引起的爭(zhēng)用問題。9.2知識(shí)準(zhǔn)備Linux系統(tǒng)內(nèi)核包含一個(gè)強(qiáng)大的網(wǎng)絡(luò)過濾子系統(tǒng)——filter子系統(tǒng)允許內(nèi)核模塊對(duì)遍歷的每個(gè)數(shù)據(jù)包進(jìn)行檢查。在任何傳入、傳出或轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)用戶空間中的組件之前，都可以通過編程方式檢查、修改、丟棄或拒絕這些數(shù)據(jù)包。netfilter是RHEL7系統(tǒng)構(gòu)建防火墻的主要模塊。圖Linux系統(tǒng)防火墻架構(gòu)9.2知識(shí)準(zhǔn)備9.2.3firewalld防火墻簡(jiǎn)介RHEL7引入了一種與netfilter交互的新方法——firewalld。firewalld是一個(gè)可以配置和監(jiān)控系統(tǒng)防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程。應(yīng)用可以通過DBus消息系統(tǒng)與firewalld通信以請(qǐng)求打開端口，而且此功能可以禁用或鎖定。firewalld守護(hù)進(jìn)程從firewalld軟件包安裝，此軟件包屬于基本安裝的一部分，不屬于最小化安裝的一部分。firewalld將所有網(wǎng)絡(luò)流量分為多個(gè)區(qū)域，從而簡(jiǎn)化防火墻管理。firewalld配置文件存儲(chǔ)在兩個(gè)位置：/etc/firewalld和/usr/lib/firewalld。如果名稱相同的配置文件同時(shí)存儲(chǔ)在兩個(gè)位置，則將使用/etc/firewalld中的版本。firewalld服務(wù)對(duì)防火墻策略的配置默認(rèn)是當(dāng)前生效模式（RunTime），因此配置信息會(huì)隨著計(jì)算機(jī)重啟而失效。如果想要讓配置的策略一直存在，那就要使用永久生效模式（Permanent），即在命令中加入permanent參數(shù)。9.2知識(shí)準(zhǔn)備1．預(yù)定義區(qū)域通過將網(wǎng)絡(luò)劃分成不同的區(qū)域，制定出不同區(qū)域之間的訪問控制策略來控制不同程序區(qū)域間傳送的數(shù)據(jù)流。網(wǎng)絡(luò)安全模型可以在安裝、初次啟動(dòng)和首次建立網(wǎng)絡(luò)連接時(shí)選擇初始化。該模型描述了主機(jī)所連接的整個(gè)網(wǎng)絡(luò)環(huán)境的可信級(jí)別，并定義了新連接的處理方式。系統(tǒng)防火墻初始化區(qū)域及功能如表所示。區(qū)域功能阻塞區(qū)域（block）任何傳入的網(wǎng)絡(luò)數(shù)據(jù)包都將被阻止工作區(qū)域（work）信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)家庭區(qū)域（home）信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)公共區(qū)域（public）不信任網(wǎng)絡(luò)上的任何計(jì)算機(jī)，只選擇接受傳入的網(wǎng)絡(luò)連接。firewalld的默認(rèn)區(qū)域是public隔離區(qū)域（DMZ）隔離區(qū)域是在內(nèi)外網(wǎng)絡(luò)之間增加的一層網(wǎng)絡(luò)，起到緩沖作用。對(duì)于隔離區(qū)域，只選擇接受傳入的網(wǎng)絡(luò)連接信任區(qū)域（trusted）所有的網(wǎng)絡(luò)連接都可以接受丟棄區(qū)域（drop）任何傳入的網(wǎng)絡(luò)連接都被拒絕內(nèi)部區(qū)域（internal）信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)。只選擇接受傳入的網(wǎng)絡(luò)連接外部區(qū)域（external）不信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)，不會(huì)損害你的計(jì)算機(jī)。只選擇接受傳入的網(wǎng)絡(luò)連接9.2知識(shí)準(zhǔn)備2．firewalld防火墻配置作系統(tǒng)管理員可以通過3種方式與firewalld交互：第一種方式是直接編輯/etc/firewalld中的配置文件；第二種方式是使用firewall-config圖形化工具；第三種方式是使用firewall-cmd命令行工具。使用firewall-cmd命令時(shí)，只是在運(yùn)行時(shí)生效，若要重新啟動(dòng)或重新加載firewalld服務(wù)單元后永久生效，需要指定permanent參數(shù)。firewall-cmd命令參數(shù)及作用如表所示。參數(shù)作用--set-default-zone=<區(qū)域名稱>設(shè)置默認(rèn)的區(qū)域，使其永久生效--get-zones顯示可用的區(qū)域--get-services顯示預(yù)先定義的服務(wù)--get-active-zones顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱--add-source=將源自此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域9.2知識(shí)準(zhǔn)備參數(shù)作用--remove-source=不再將源自此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域--add-interface=<網(wǎng)卡名稱>將源自該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域--change-interface=<網(wǎng)卡名稱>將某個(gè)網(wǎng)卡與區(qū)域進(jìn)行關(guān)聯(lián)--list-all顯示當(dāng)前區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--list-all-zones顯示所有區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--add-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域允許該服務(wù)的流量--add-port=<端口號(hào)/協(xié)議>設(shè)置默認(rèn)區(qū)域允許該端口的流量--remove-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域不再允許該服務(wù)的流量--remove-port=<端口號(hào)/協(xié)議>設(shè)置默認(rèn)區(qū)域不再允許該端口的流量--reload讓“永久生效”的配置規(guī)則立即生效，并覆蓋當(dāng)前的配置規(guī)則9.2知識(shí)準(zhǔn)備3．預(yù)定義服務(wù)firewalld上有一些預(yù)定義服務(wù)，這些預(yù)定義服務(wù)可幫助你識(shí)別要配置的特定網(wǎng)絡(luò)服務(wù)。例如，可指定預(yù)構(gòu)建的SSH服務(wù)來配置正確的端口和協(xié)議，而無須研究SSH服務(wù)的相關(guān)端口。初始防火墻區(qū)域配置中使用的預(yù)定義服務(wù)如表所示。服務(wù)名稱配置內(nèi)容SSH本地SSH服務(wù)器。到22/tcp的流量dhcpv6-client本地DHCPv6客戶端。到fe80::/64IPv6網(wǎng)絡(luò)中546/udp的流量ipp-client本地IPP打印。到631/udp的流量samba-client本地Windows文件和打印共享客戶端。到137/udp和138/udp的流量mDNS多播DNS（mDNS）本地鏈路名稱解析。到5353/udp指向51（IPv4）或ff02::fb（IPv6）多播地址的流量9.2知識(shí)準(zhǔn)備4．管理富規(guī)則firewalld富規(guī)則為管理員提供了一種表達(dá)性語(yǔ)言，通過這種語(yǔ)言可表達(dá)firewalld的基本語(yǔ)法中未涵蓋的自定義防火墻規(guī)則；支持配置更復(fù)雜的防火墻配置。規(guī)則中幾乎每個(gè)單一元素都能夠以optionvalue形式來采用附加參數(shù)。富規(guī)則參數(shù)如表所示。富規(guī)則基本語(yǔ)法：rule[source][destination]service|port|protocol|icmp-block|masquerade|forward-port[log][audit][accept|reject|drop]9.2知識(shí)準(zhǔn)備參數(shù)內(nèi)容--add-rich-rule='<RULE>'向指定區(qū)域中添加<RULE>，如果未指定區(qū)域，則向默認(rèn)區(qū)域中添加--remove-rich-rule='<RULE>'從指定區(qū)域中刪除<RULE>，如果未指定區(qū)域，則從默認(rèn)區(qū)域中刪除--query-rich-rule='<RULE>'查詢指定區(qū)域中刪除的<RULE>，如果未指定區(qū)域，則從默認(rèn)區(qū)域中查詢--list-rich-rules輸出指定區(qū)域的所有富規(guī)則，如果未指定區(qū)域，則從默認(rèn)區(qū)域富規(guī)則端口轉(zhuǎn)發(fā)5．端口轉(zhuǎn)發(fā)firewalld支持兩種類型的網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）：偽裝和端口轉(zhuǎn)發(fā)?？梢栽诨炯?jí)別使用常規(guī)firewall-cmd規(guī)則來同時(shí)配置兩種網(wǎng)絡(luò)地址轉(zhuǎn)換，更高級(jí)的轉(zhuǎn)發(fā)配置可以使用富規(guī)則來完成。第一種NAT形式是偽裝，通過偽裝，系統(tǒng)會(huì)將非直接尋址到自身的包轉(zhuǎn)發(fā)到指定接收方，同時(shí)將通過的包的源地址更改為其自己的公共IP地址。第二種NAT形式是端口轉(zhuǎn)發(fā)，通過端口轉(zhuǎn)發(fā)，指向單個(gè)端口的流量將轉(zhuǎn)發(fā)到相同計(jì)算機(jī)上的不同端口，或者轉(zhuǎn)發(fā)到不同計(jì)算機(jī)上的端口。9.2知識(shí)準(zhǔn)備9.2.4SELinux簡(jiǎn)介1．SELinux基本概念安全增強(qiáng)式Linux（SecurityEnhancedLinux，SELinux）是一個(gè)Linux操作系統(tǒng)內(nèi)核的安全模塊，已經(jīng)被添加到各種Linux操作系統(tǒng)發(fā)行版中。SELinux的主要目標(biāo)是防止已遭泄露的系統(tǒng)服務(wù)訪問用戶數(shù)據(jù)，大多數(shù)Linux操作系統(tǒng)管理員都熟悉標(biāo)準(zhǔn)的用戶/組/其他權(quán)限安全模型。這種基于用戶和組的模型稱為“自由決定的訪問控制”（DiscretionaryAccessControl，DAC）。SELinux提供另一層安全，它基于對(duì)象并由更加復(fù)雜的規(guī)則控制，稱為“強(qiáng)制訪問控制”（MandatoryAccessControl，MAC）。作為最初SELinux的主要開發(fā)者，美國(guó)國(guó)家安全局于2000年12月22日基于GNU通用公共許可證發(fā)行了第一版SELinux，并將其給予開放源代碼開發(fā)社區(qū)。SELinux隨后被集成進(jìn)了Linux操作系統(tǒng)內(nèi)核2.6.0-test3版本的主分支，并在2003年8月8日發(fā)布。使用SELinux后，系統(tǒng)中的文件、目錄、設(shè)備甚至端口都作為對(duì)象，所有的進(jìn)程與文件都被標(biāo)記為一種類型，類型定義了進(jìn)程的操作域，同時(shí)也定義了文件的類型。9.2知識(shí)準(zhǔn)備由于不會(huì)受到SELinux的約束，httpd守護(hù)進(jìn)程聽到請(qǐng)求后，可以完成以下事情。根據(jù)相關(guān)的所有者和所屬組的rwx權(quán)限，訪問任何文件或目錄。完成存在安全隱患的活動(dòng)，允許上傳文件或更改系統(tǒng)顯示。監(jiān)聽任何端口的傳入請(qǐng)求。2．SELinux上下文SELinux是用于確定哪個(gè)進(jìn)程可以訪問哪些文件、目錄和端口的一組安全規(guī)則。每個(gè)文件、進(jìn)程、目錄和端口都具有專門的安全標(biāo)簽，稱為“SELinux上下文”。上下文是一個(gè)名稱，SELinux策略使用它來確定某個(gè)進(jìn)程能否訪問文件、目錄或端口。除非顯式規(guī)則授予訪問權(quán)限，否則，在默認(rèn)情況下，策略不允許進(jìn)行任何交互。如果沒有允許規(guī)則，則不允許訪問。SELinux標(biāo)簽具有多種上下文：用戶、角色、類型和敏感度。SELinux管理過程中，進(jìn)程是否可以正確地訪問文件資源，取決于它們的安全上下文。SELinux不僅進(jìn)行文件和進(jìn)程標(biāo)記，還嚴(yán)格實(shí)施網(wǎng)絡(luò)流量規(guī)則。SELinux用來控制網(wǎng)絡(luò)流量的一種方法是標(biāo)記網(wǎng)絡(luò)端口。當(dāng)某個(gè)進(jìn)程系統(tǒng)偵聽端口時(shí)，SELinux將檢查是否允許與該進(jìn)程（域）相關(guān)聯(lián)的標(biāo)簽綁定該端口標(biāo)簽。這可以阻止惡意服務(wù)控制本應(yīng)由其他合法網(wǎng)絡(luò)服務(wù)使用的端口。2．SELinux上下文9.3項(xiàng)目實(shí)施9.3.1firewalld防火墻管理查詢系統(tǒng)當(dāng)前防火墻信息。[root@server～]#firewall-cmd--list-all查詢預(yù)定義firewalld服務(wù)[root@server～]#firewall-cmd--get-services查看系統(tǒng)存在的防火墻區(qū)域[root@server～]##firewall-cmd--get-zonesblockdmzdropexternalhomeinternalpublictrustedwork查看firewalld服務(wù)當(dāng)前所使用的區(qū)域[root@server～]#firewall-cmd--get-default-zonepublic9.3項(xiàng)目實(shí)施將firewalld防火墻服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public。[root@server～]#firewall-cmd--set-default-zone=publicsuccess[root@server～]#firewall-cmd--get-default-zonepublic[root@server～]#firewall-cmd--get-active-zones查詢eno16777728網(wǎng)卡在firewalld服務(wù)中的區(qū)域[root@server～]#firewall-cmd--get-zone-of-interface=eno16777728public將firewalld防火墻服務(wù)中eno16777736網(wǎng)卡的默認(rèn)區(qū)域修改為external。[root@server～]#firewall-cmd--permanent--zone=external--change-interface=eno16777736TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@server～]#firewall-cmd--get-zone-of-interface=eno16777736external[root@server～]#firewall-cmd--get-active-zonespublicinterfaces:eno167777369.3項(xiàng)目實(shí)施查詢?cè)趐ublic區(qū)域中的ssh與https服務(wù)請(qǐng)求是否被允許。[root@server～]#firewall-cmd--zone=public--query-service=sshyes[root@server～]#firewall-cmd--zone=public--query-service=httpsno將firewalld防火墻服務(wù)中https服務(wù)的請(qǐng)求流量設(shè)置為永久允許。[root@server～]#firewall-cmd--permanent--zone=public--add-service=httpssuccess[root@server～]#firewall-cmd--reloadsuccess將firewalld防火墻服務(wù)中8899/tcp端口的請(qǐng)求流量設(shè)置為允許放行。[root@server～]#firewall-cmd--zone=public--permanent--add-port=8899/tcp[root@server～]#firewall-cmd--list-ports8899/tcp9.3項(xiàng)目實(shí)施9.3.2富規(guī)則和端口轉(zhuǎn)發(fā)1．防火墻基本規(guī)則在firewalld防火墻服務(wù)中配置一條富規(guī)則，拒絕所有來自192.168.10.0/24網(wǎng)段的用戶訪問本機(jī)ssh服務(wù)。[root@server～]#firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject"[root@server～]#firewall-cmd--reload[root@server～]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject9.3項(xiàng)目實(shí)施2．端口轉(zhuǎn)發(fā)防火墻規(guī)則在server上配置防火墻，將端口443/tcp轉(zhuǎn)發(fā)到22/tcp。[root@server～]#firewall-cmd--permanent--zone=public--add-rich-rule="rulefamily="ipv4"sourceaddress=/24forward-portport=443protocol=tcpto-port=22"[root@server～]##firewall-cmd–reload#在另外一臺(tái)主機(jī)上測(cè)試（同一網(wǎng)段的虛擬機(jī)）。[root@node1～]#ssh-p4433．流量轉(zhuǎn)發(fā)防火墻規(guī)則將來自work區(qū)域中/24且傳入端口80/tcp的流量轉(zhuǎn)發(fā)到防火墻計(jì)算機(jī)自身的端口8080/tcp。9.3項(xiàng)目實(shí)施4．http和https防火墻規(guī)則僅允許某個(gè)網(wǎng)絡(luò)主機(jī)訪問http和https服務(wù)。[root@server～]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=httpprotocol=tcpaccept'[root@server～]#fireall-cmd--permanent--zone=work--add-rich-rule='rulefamily=ipv4sourceaddress=/24forward-portport=80protocol=tcpto-port=8080'5．ssh防火墻規(guī)則ssh遠(yuǎn)程連接服務(wù)默認(rèn)使用22端口提供遠(yuǎn)程連接，在防火墻規(guī)則中添加ssh服務(wù)使用2220端口，并修改ssh服務(wù)配置文件sshd_config禁止22端口訪問。9.3項(xiàng)目實(shí)施6．查看防火墻日志[root@server～]#grep-iport/etc/ssh/sshd_config#Port22Port2220[root@server～]#systemctlrestartsshd[root@server～]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24portport=2220protocol=tcpaccept'[root@server～]#tail-f/var/log/secureMay2205:08:55openstacksshd[58785]:Disconnectedfromport64575[preauth]May2205:09:38openstacksshd[58910]:reprocessconfigline57:DeprecatedoptionRSAAuthenticationMay2205:09:42openstacksshd[58910]:Acceptedpublickeyforanyunofromport64605ssh2:RSASHA256:LFdT6E/5vGQ0+a7HWWBHGD8LBBTZS7eJwKkpHKSERa0May2205:09:43openstacksshd[58910]:pam_unix(sshd:session):sessionopenedforuseranyunoby(uid=0)使用客戶端登錄服務(wù)器，查看/var/log/secure文件，檢查sshd日志。9.3項(xiàng)目實(shí)施9.3.3管理SELinux上下文1．查看文件和目錄的安全上下文使用ls命令的-Z參數(shù)查看文件和目錄的安全上下文。[root@localhost～]#ls-Z#使用參數(shù)-Z查看文件和目錄的安全上下文-rw-------．rootrootsystem_u：object_r：admin_home_t：s0anaconda-ks.cfg-rw-r--r--．rootrootsystem_u：object_r：admin_home_t：s0install.log-rw-r--r--．rootrootsystem_u：object_r：admin_home_t：s0install.log.syslog9.3項(xiàng)目實(shí)施2．更改文件或目錄的SELinux上下文semanage命令用來查詢與修改SELinux默認(rèn)目錄的安全上下文。restorecon命令用來恢復(fù)SELinux文件屬性，即恢復(fù)文件的安全上下文。[root@server～]#mkdir/virtual[root@server～]#ls-Zd/virtual/unconfined_u:object_r:default_t:s0/virtual/[root@server～]#touch/virtual/index.html[root@server～]#ls-Z/virtual/unconfined_u:object_r:default_t:s0index.html[root@server～]#semanagefcontext-a-thttpd_sys_content_t'/virtual(/.*)?'[root@server～]#restorecon-vvFR/virtual/Relabeled/virtualfromunconfined_u:object_r:default_t:s0tosystem_u:object_r:httpd_sys_content_t:s0Relabeled/virtual/index.htmlfromunconfined_u:object_r:default_t:s0tosystem_u:object_r:httpd_sys_content_t:s0[root@server～]#ls-Z/virtual/system_u:object_r:httpd_sys_content_t:s0index.html[root@server～]#ls-Zl/virtual/total0-rw-r--r--.1rootrootsystem_u:object_r:httpd_sys_content_t:s00Nov2400:07index.html9.3項(xiàng)目實(shí)施9.3.4管理SELinux端口標(biāo)記1．偵聽端口標(biāo)簽要獲取所有當(dāng)前端口標(biāo)簽的分配情況，可以使用semanage命令的port子命令實(shí)現(xiàn)，-l參數(shù)將以下列形式列出所有當(dāng)前分配。[root@server～]#semanageport-lport_label_ttcp|udpcomma，separated，list，of，ports2．管理端口標(biāo)簽RHEL7和RHEL8可以使用semanage命令來分配新端口標(biāo)簽、刪除端口標(biāo)簽或修改現(xiàn)有端口標(biāo)簽。下面使用semanage命令向現(xiàn)有端口標(biāo)簽（類型）中添加端口。[root@server～]#semanageport-a-tport_label-ptcp|udpPORTNU