1、SELinux

A、認(rèn)識SELinux
    Security Enhanced Linux的縮寫，安全強(qiáng)化的Linux之意，是在進(jìn)行程序、文件權(quán)限設(shè)置依據(jù)的一個(gè)內(nèi)核模塊。
    自主訪問控制（DAC）：    基于傳統(tǒng)文件權(quán)限與賬戶關(guān)系的機(jī)制，root擁有最高權(quán)限，用戶可以取得進(jìn)程更改文件資源權(quán)限
    強(qiáng)制訪問控制（MAC）：   以策略規(guī)則制定特定程序讀取特定文件，更加細(xì)化，限制經(jīng)?；顒涌臻g
B、運(yùn)行模式
    主體（= 進(jìn)程）
    目標(biāo)（= 文件系統(tǒng)）
    策略
        默認(rèn)策略：    只針對網(wǎng)絡(luò)服務(wù)限制較為嚴(yán)格，本地服務(wù)限制較少；
        強(qiáng)制策略：    完整版策略，限制較嚴(yán)格
    安全上下文
        使用ls -Z查看，由三個(gè)字段組成：
        身份標(biāo)識：    root、system_u、user_u
        角色：    object_r、system_r
        類型：（最重要）    type、domain

40983ecf-3ae8-4d01-becd-29f36f49f687.jpg

C、啟動、關(guān)閉與查看
查看： getenforce（強(qiáng)制模式、寬容模式、關(guān)閉模式）、sestatus（策略查看）
啟動與關(guān)閉： 需修改配置文件

2、系統(tǒng)服務(wù)

A、服務(wù)與Daemon
    實(shí)現(xiàn)提供某一個(gè)服務(wù)的進(jìn)程就稱為Daemon。
    分類：
        按啟動與管理方式：    stand alone（獨(dú)立啟動、反應(yīng)快）、super daemon（統(tǒng)一管理、相應(yīng)較慢）
        安工作形態(tài)：        signal-control（信號驅(qū)動工作）、interval-control（間隔輪詢工作）
    命名規(guī)則：    ｛xxx｝d
    在網(wǎng)絡(luò)中，服務(wù)與端口號有對應(yīng)關(guān)系
    啟動腳本與啟動方式
        /etc/init.d/*    啟動腳本
        /etc/sysconfig/*    服務(wù)初始化環(huán)境配置文件
        /etc/xinetd.config、/etc/xinetd.d/*    super domain配置文件
        /etc/*    各服務(wù)各自的配置文件
        /var/run/*    各服務(wù)程序的PID記錄
        stand alone的啟動：
            service [service name] （start|stop|restart|…）
            service --startus-all    
        super domain的啟動：
            super domain自身的啟動方式還是stand alone方式
B、super domain的配置文件
    默認(rèn)值配置文件：    xinetd.conf
    default
    ｛
             <attribute>    <assign_op>    <value>
              ……
    ｝
    includedir /etc/inetd.d

    服務(wù)自身的配置文件：
    service <service_name>
    ｛
            <attribute>    <assign_op>    <value>    <value>
            ……
    ｝

7b2e92a3-a79f-42c8-91e6-e0e60396367d.png

fe1fcba2-909e-4295-a6ef-71c22affc0d3.png

152993a6-bbf7-4e0c-b4be-25f9f2adb188.png

55e27976-94d0-4359-8775-0a45e9eb8ce7.png

3ed116c4-ccd8-4868-b43c-a09c0d864afe.png

08ee2c32-6060-4ce6-950e-4671d0244780.png

assign_op的取值與含義：
= 就是這樣
+= 給原來的值中加入新值
-= 從原來的值中減去后面的值
C、服務(wù)的防火墻與配置
/etc/hosts.allow、/etc/hosts.deny管理
可以管理任何xinetd管理的服務(wù)的防火墻
配置文件語法：
<service (process_name)> : <IP, domain, hostname> : <action>
判定規(guī)則：
允許進(jìn)入的寫入hosts.allow；
禁止進(jìn)入的寫入hosts.deny;
hosts.allow的優(yōu)先級高于hosts.deny；
其他可配關(guān)鍵字：
ALL： 代表所有程序或IP，如ALL:ALL:deny；
LOCAL： 代表來自本機(jī)，如ALL:LOCAL:allow；
UNKNOWN： 代表未知IP、未知domain、未知服務(wù)；
KNOWN： 代表可解析IP、可解析Domain；
chkconfig
管理系統(tǒng)服務(wù)默認(rèn)開機(jī)啟動與否
chkconfig --list [service name]
chkconfig [--level [0123456]] [service name] [on|off]