SELinux使用案例详解
1. SSH服务管理
在管理SSH服务时,独立实例能让管理员在临时锁定服务(如关停用户SSH守护进程)的同时,仍可保证自身的SSH访问。
1.1 更新网络规则
与调整Web服务器类似,需要查看防火墙规则。不过,这里不会使用差异很大的SECMARK标签(除非依据源地址使用SECMARK进行区分,确保管理员仅通过已知的源系统登录)。只需在数据包层面启用SECMARK标签(省略基于类别的标签),以确保与两个SSH服务的通信被标记为SSH通信:
# iptables -t security -A INPUT -p tcp --dport 22 -j SECMARK \ --selctx "system_u:object_r:ssh_server_packet_t:s0" # iptables -t security -A INPUT -p tcp --dport 4971 -j SECMARK \ --selctx "system_u:object_r:ssh_server_packet_t:s0"同时,需要更改SELinux中非默认端口4971的端口类型声明,将其从默认的unreserved_port_t类型切换为ssh_port_t类型:
# semanage port -a -t ssh_port_t -p tcp 4971通常,管理员
