linux为什么要关闭防火墙和selinux

老实说,当我第一次开始尝试关闭 Linux 系统上的防火墙和 SELinux 时,我也这样做了。
当时无法连接到服务器。
经过很长时间的尝试,我发现SELinux不应该使用Nginx作为代理,所以我就放弃了。
但这个操作就像把安全带从座椅上推下来一样。
它省去了麻烦,但结果却是无穷无尽的。

我先说说我攻击过的陷阱。
有一次,SELinux在测试环境中切换到permissive模式。
这就是为什么我由于许可问题而秘密编写了一个恶意文件。
虽然这东西本身并没有造成任何损害,但我还是很害怕,连夜把所有的设备都换了。
禁用 SELinux 相当于删除强制访问控制层。
如果恶意软件侵入,系统将被彻底破坏。

有趣的是,很多新手认为“写错的防火墙规则依赖于服务”。
事实上,SELinux 政策过于严格的情况更为常见。
例如,当我使用OpenStack搭建环境时,KVM模块的SELinux默认策略会阻止New服务。
这时候暂时禁用它比单独更改规则要容易得多。
但说实话,这种心态是极其危险的——如果你今天为了省事而关掉SELinux,如果明天生产环境出了问题,你的老板只会说你技术不好。

我对关闭方法有一个小建议。
对于使用RHEL的系统,不要直接修改/etc/selinux/config,因为这会导致系统启动时出错。
但通常先将力设为0,暂时开启,待实验完成后再转为永久状态。
在 iptables 部分,仅使用 iptables 来保存规则。
不要直接保存到iptables,因为它不会自动写入配置文件。

在这两者之间我特别推荐ufw。
我曾经帮朋友调试过一个Docker容器,发现它比iptables好用多了。
ufw 允许在单行上完成 8 0/tcp。
如果你想禁用该服务,只需删除 ufw allowed 8 0 即可。
firewalld 类似。
firewall-cmd命令行操作比iptables更直观。

但是audit2 allow工具非常棒。
我有一个客户使用 OpenStack 作为私有云,并控制 SELinux。
我们使用这个工具分析结果,将所需的操作添加到列表中,系统恢复正常。
但说实话,这门艺术的门槛很高,初学者可能会读很长时间的说明书。

最后我想说的是,学习阶段可以暂时关闭安全机制,可以理解,但是实验中一定要写好,使用后记得恢复原状。
生产环境直接关闭吗?我看到运维在这样做,服务器在挖矿,CPU被关闭。
最后:我得到了几十万的补偿。
安全配置就像为系统穿上一件夹克。
如果你认为有必要,你可以不必使用它,但如果发生什么事情,你就不会再后悔了。

linux怎么开启和关闭防火墙

说到Linux防火墙,我需要和大家详细聊聊。
首先,我们来谈谈闪烁。
您应该使用“chkconfig iptables on”命令。
注意要重启系统,不然就没用了。
这是为了让防火墙在系统启动时自动工作。
如果要禁用它,请使用“chkconfig iptables off”命令并重新启动系统即可生效。

如果您需要为特定模式设置防火墙状态,例如多用户模式,您应该使用“chkconfig --level 2 3 4 5 iptables off”。
数字2 3 4 5 代表非联网多用户模式、联网多用户模式、不可用模式和GUI模式。
此命令仅影响您指定级别的防火墙状态。

那么当涉及到临时开启和关闭的时候,可以使用“service iptables status”来查看状态。
如果你不想让它启动,只需“iptables服务停止”即可。
如果你想让它启动,只需“启动 iptables 服务”即可。
但是,这两者都是暂时的,系统重新启动后将恢复到原始状态。

Another method is to operate directly on the init.d directory.首先进入“/etc/init.d/”目录,然后运行“iptables status”查看状态。
如果你想暂时停止它,只需“iptables stop”即可。
要重新启动,只需“iptables restart”即可,这将重新加载防火墙规则。

If you want a specific port to pass through the firewall, you need to change the "/etc/sysconfig/iptables" file.例如,如果你想允许8 0端口或3 3 06 端口通过,你需要添加一条新规则,像这样(-A INPUT -m state --state NEW -m tcp --dport 8 0 -j ACCEPT),但请注意,你需要将这条新规则添加到默认允许2 2 端口的规则下,并且不能添加在最后。
进行更改后,您必须重新启动防火墙以使规则生效。