节点防火墙和SELinux配置2

3.1.5节点防火墙和SELinux配置目录1.什么是SELinux22.基本SELinux安全性概念3.SELinux模式1.什么是SELinuxHost1#控制controller节点&Host2#计算compute节点#controller和compute节点关闭防火墙，并设置为开机不启动#serviceiptablesstop#chkconfigiptablesoff编辑/etc/selinux/config文件，修改

SELINUX=permissive4使用过RedHat系列Linux操作系统的用户应该都见到过SELinux，它的全称是“Security-EnhancedLinux（安全增强的Linux）”。在RedHatEnterpriseLinux、Fedora和Centos操作系统中，SELinux是默认安装并启用的。包括小张在内的很多用户一开始对SELinux并不了解，当他们在系统中配置了一些网络服务时，会发现很多服务的特定功能在启用了SELinux时不能正常工作，于是，很多人会尝试将SELinux关闭，之前的故障就消失了。所以，很多人对SELinux有偏见，认为这是一个会“带来麻烦”的功能，不过，任何新生事物都有出现的理由，SELinux也不例外。下面，我们就来了解一些有关SELinux的基础知识和配置方法。1.什么是SELinux5Linux本身并不是一个足够安全的操作系统，因为它是在UNIX的设计基础上开发的，而UNIX诞生于1969年，在当时并没有把安全作为设计重点。虽然UNIX和Linux在后来开发了许多的安全组件，比如PAM认证、iptables防火墙、ACL访问控制列表等，但是系统的基础架构并不完美，比如对文件和目录的权限设置只能按照用户、用户组和其他人来界定读、写、执行权限，权限控制方式过于简单，另外，root用户权力过大，对系统的访问不受任何限制，可能会对系统造成伤害。而SELinux的设计原则就是将权限最小化，尽量避免不安全操作。使用SELinux，可以将Linux操作系统的安全级别从C2提升到B1。1.什么是SELinux6SELinux是美国国家安全局（NSA）在Linux社区的帮助下开发的，它能够实现灵活的强制访问控制（MAC，MandatoryAccessControl）体系结构。SELinux不是一个Linux的发行版，而是集成在Linux内核中的安全子系统，能够提供一个可定制的安全策略（SecurityPolicy）。SELinux还包括一系列的用户工具，使用户能够自定义SELinux策略所定义的规则和功能。2.基本SELinux安全性概念7在某种程度上，SELinux可以被看作是与标准权限系统并行的另一个权限系统。在标准权限模式中，当一个用户执行某个程序时，所产生的进程就会获得这个用户的权限。另外，系统中的所有文件都被设置了权限，即每个文件和目录都有所属的用户和用户组，并且为所属用户、所属用户组和其他人分别设置不同的读、写、执行权限。一个进程能否访问一个文件，取决于进程自身的权限和文件的权限设置。这种访问控制模式叫做自主访问控制（DAC，DiscretionaryAccessControl），这是一种比较宽松的访问控制模式，特别是当用户使用root身份登陆系统时，由于root具有不受权限限制的特点，所以有一定的危险性。2.基本SELinux安全性概念8SELinux有3种工作模式，分别是强制模式、许可模式和禁用模式。（1）强制模式（EnforcingMode）强制模式表示启用SELinux，记录违规日志，并强制拒绝违规操作。在强制模式下，Linux内核会加载SELinux安全子系统，当主体访问对象时，Linux内核会先经过传统的权限检查，如果传统权限允许操作，SELinux子系统会进行策略判断，如果找到相关的允许规则，则可以操作，如果规则不允许，或没有相关的规则，则会拒绝操作。同时，SELinux还会把违规事件记录到日志系统中。3.SELinux模式9（2）许可模式（PermissiveMode）许可模式表示启用SELinux，记录违规日志，但会允许所有违规操作。在许可模式下，Linux内核也会加载SELinux安全子系统，许可模式与强制模式的区别在于，如果发生违规行为，SELinux还是会允许操作，就像是没有开启SELinux。但是许可模式会把违规事件记录到日志系统中，所以这个模式通常用于对问题进行故障排除，用来确定故障到底是系统服务的问题，还是SELinux的问题。如果在强制模式下，无法完成某种操作，可以将SELinux模式转换为许可模式，如果问题解决了，说明需要对SELinux进行一些配置，允许所需要的操作。3.SELinux模式10（3）禁用模式（DisabledMode）禁用模式表示完全禁用SELinux，系统不受SELinux的保护。在禁用模式下，Linux内核不会加载SELinux安全子系统，就像没有安装SELinux一样。需要注意的是，如果将SELinux的模式从强制或许可模式转换到禁用模式，必须要重新启动系统。同样如果从禁用模式转换到强制或许可模式，也需要重新启动，而且在重启时，SELinux会花费大量的时间对整个文件系统进行重标记（Relabel）。3.SELinux模式11在RedHat系列的Linux操作系统中，SELinux的配置文件是“/etc/selinux/config”，以下是配置文件的内容。[root@redhat~]#cat/etc/selinux/config#ThisfilecontrolsthestateofSELinuxonthesystem.#SELINUX=cantakeoneofthesethreevalues:#enforcing-SELinuxsecuritypolicyisenforced.#permissive-SELinuxprintswarningsinsteadofenforcing.#disabled-SELinuxisfullydisabled.SELINUX=enforcing#SELINUXTYPE=typeofpolicyinuse.Possiblevaluesare:#targeted-Onlytargetednetworkdaemonsareprotected.#strict-FullSELinuxprotection.SELINUXTYPE=targeted12在这个配置文件中，提供了两个配置参数。（1）SELINUX=enforcing指定系统的SELinux模式，可以选择的模式包括enforcing、permissive和disabled，分别代表强制模式、许可模式和禁用模式。这个配置能够控制系统在启动时应该使用的SELinux模式，如果打算长期使用某种SELinux模式，应该修改这个配置文件。但是，修改了“/etc/selinux/config”之后，必须重新启动系统，才能让SELinux转换到指定的工作模式。13（2）SEL