檔案系統、服務、防火牆、SELINUX——安全四大金剛

一提到安全，大家都會想到防火牆，和檔案系統許可權。而實際工作環境中，我們在 的安全配置，會涉及到四個級別。我們思考一個場景，你要在百度盤中存放一個檔案，這個動作需要考慮下面四個許可權。

1 firewall  # firewall-cmd ...

你在訪問伺服器時，首先會經過防火牆。

2 service   # vim /etc/*.conf

當你訪問百度盤的服務時，只能訪問自己的百度盤。

3 filesystem # chown, chmod, setfacl

我們將檔案存在百度盤時，你需要有伺服器上本地的寫許可權。

4 selinux    # vim /etc/selinux/config

Selinux是安全增強，他在上面三個安全的基礎上又做了一層安全保護。

Selinux在埠上的安全增強，我們叫他port埠標籤。在配置apache服務時，我們修改了預設的服務埠，服務無法啟動。要在semanage port埠標籤中，加入你想使用的埠號，服務就可以正常啟動了。

Selinux在服務上的安全增強，我們叫他bealoon布林值。在配置samba服務時，如果你想將使用者的家目錄也共享出來，必須將samba_enable_home_dirs這個布林值開啟。使用者才能訪問自己的家目錄共享。

Selinux在檔案系統上的安全增強，我們叫他fcontext上下文關係。在配置samba服務時，如果你將一個頂級目錄共享，比如“/common”。這個資料夾如果要讓他有讀、寫許可權的話，必須修改該資料夾的上下文關係為“samba_share_t”。