33、深入了解 Linux 安全：SELinux、AppArmor 与防火墙配置

深入了解 Linux 安全：SELinux、AppArmor 与防火墙配置

1. 基于上下文的权限管理

在 Linux 系统中，为了进一步增强安全性，许多发行版提供了额外的安全层，主要以 SELinux 或 AppArmor 的形式实现。这两种机制都采用基于上下文的权限管理，与默认的直接授予用户或组访问文件的方式不同，它们结合进程和文件的多种信息来进行访问控制决策。

1.1 强制访问控制（MAC）

MAC 是一种通过比较对象的安全标识和主体（用户或其他实体）的安全许可来控制访问的模型。文件和其他资源会根据其敏感性被分配不同级别的安全标签，主体也有相应的安全级别或许可。当主体尝试访问对象时，其许可级别必须与对象的安全级别相匹配，否则将被拒绝访问。与 Linux 默认的自主访问控制（DAC）不同，DAC 中每个对象都有一个允许访问的实体列表，且对象所有者可以直接更改该列表。

1.2 SELinux

Security - Enhanced Linux（SELinux）是 CentOS 和 Red Hat Enterprise Linux 的默认基于上下文的权限方案，也可在其他发行版中选择使用。它由美国国家安全局（NSA）开发，为文件系统和网络提供额外的安全保护，防止未经授权的进程访问或篡改数据、绕过安全机制、违反安全策略或执行不可信程序。

• SELinux 上下文：SELinux 为每个文件和进程定义了三个主要上下文，用冒号分隔。
• 用户（User）：定义哪些 SELinux 用户可以访问对象，与 Linu