18、Linux网络安全与配置优化指南
Linux网络安全与配置优化指南
服务配置与SELinux基础
在网络安全配置中,我们首先要关注其他服务的配置文件。例如,对于Web服务器,你可能会用到Apache或NGINX。默认配置文件里有很多可用示例,若要启用某个示例,只需将enabled = false改为enabled = true,然后重启fail2ban即可。
SELinux,即Security Enhanced Linux,是一个内核模块,旨在通过强制实施强制访问控制(MAC)来增强系统安全性。它让你能够确保用户和应用程序仅能访问完成指定任务所需的资源。防火墙主要防止外部入侵,而SELinux则防止内部资源进行不被允许的操作。比如,你可以阻止用户将私密文件设为全局可读,也能确保Apache无法访问/var/www以外的文件。没有SELinux时,你只能依靠用户和组权限;而SELinux通过添加额外的安全层,实现更精细的安全限制。
SELinux并非特定于某个发行版,不过在Red Hat、Fedora和CentOS系统上较为常见。在Debian系统中,若要使用SELinux,需要进行安装。但由于selinux - policy - default包存在未及时修复的漏洞,该包未包含在Debian 8.x “Jessie” 的官方仓库中。若后续该包可用,在Debian中安装SELinux的步骤如下:
1. 安装selinux - policy - default和selinux - basics </