Vultr VPS查看SELinux状态(SELinux防火墙端口开关教程)

  • Vultr VPS查看SELinux状态(SELinux防火墙端口开关教程)已关闭评论
  • A+
所属分类:新手教程

SELinux 是“Security-Enhanced Linux”的简称,是美国国家安全局“NSA=The National Security Agency”和“ SCC=Secure Computing Corporation”开发的 Linux 的一个扩张强制访问控制安全模块。

Vultr VPS查看SELinux状态(SELinux防火墙端口开关教程)

目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等),强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复,在目前的大多数发行版中,已经默认在内核集成了 SELinux。

SELinux 系统比起通常的 Linux 系统来说安全性能要高的多,它通过对于用户,进程权限的最小化,即使受到攻击,进程或者用户权限被夺去,也不会对整个系统造成重大影响。

SELinux 添加放行端口
如何在不关闭 SELinux 的情况下开放和关闭端口,如果你使用的 Vultr VPS 是 CentOS 系统,而且装的有 SELinux ,那么在你修改 SSH 端口或者需要安装其它服务监听一个端口时,没有在 SELinux 里面放行这个端口,那么这个端口可能就无法连接,就会出现端口超时的问题。

查看 SELinux 状态
首先我们要查看 SELinux 是不是开启的状态,可以使用命令:

/usr/sbin/sestatus -v
进行查看,如果在 SELinux status 后面的结果中得出参数为 enabled 即为开启状态。

SELinux status 结果为 enabled 即为开启状态。

如果你想关闭 SELinux 可以使用下面的方法进行操作:

修改/etc/selinux/config 文件
将 SELinux = enforcing 更改为 SELinux = disabled
重启生效
如果感觉更改起来比较麻烦,最简单的办法就是重新安装一个不带 SELinux 的操作系统,或者删除目前的 VPS 实例,重新购买一个不带 SELinux 的操作系统。

开放 8080 端口
Linux 默认的防火墙 8080 端口是关闭的,如果要想访问 8080 端口,有两种方法可以解决:

关闭防火墙
开放 8080 端口
开放 8080 端口的解决步骤如下:

修改/etc/sysconfig/iptables文件,然后在下面增加如下一行:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

重启 iptables

service iptables restart

重启防火墙,这里有两种方式重启防火墙

重启后生效

开启: chkconfig iptables on
关闭: chkconfig iptables off
即时生效,重启后失效

开启: service iptables start
关闭: service iptables stop
查看 SELinux 中放行的 SSH 端口

使用以下命令进行查看:

semanage port -l | grep ssh
输入命令后如果没有找到 semanage 这个命令(semanage command not found),这个时候我们需要先安装 semanage:

yum -y install policycoreutils-python
如果需要在 SELinux 中添加新的 SSH 端口,我们可以这样操作:

semanage port -a -t ssh_port_t -p tcp 1234
如果需要添加其它的 HTTP 端口,就这样操作:

semanage port -a -t http_port_t -p tcp 888
检查 SELinux 端口是否添加成功

按照上面的进行操作后,我们需要进行检测 SELinux 端口是否添加成功,如果添加成功,就会在原来 SSH 端口的基础上增加一个新的 1234 端口,否则只会显示旧的的 SSH 端口(SSH 服务的默认端口为 22)。

semanage port -l | grep ssh
当此命令执行完成之后如果显示 ssh_port_tcp 22,1234 这个时候就说明我们新增的 1234 端口已经生效,这个时候就可以使用 1234 端口进行连接 SSH 了。

当连接成功后可以将 /etc/ssh/sshd_config 内的 Port 22 端口删除掉,保存并重启 SSH 服务即可。

Vultr 新用户直送 50-100 美元活动再次开启,社交 转发再领 3 美元