SELinux 使用案例实战:强化 Web 服务器与保障 Shell 服务安全
1. 引言
SELinux(Security-Enhanced Linux)的操作控制需与管理员的目标和需求相契合。本文将介绍几个实用案例,帮助管理员通过 SELinux 强化 Web 服务器、保障 Shell 服务安全,以及配置 NFS 服务器等。
2. 强化 Web 服务器
2.1 描述现状
在进行 SELinux 配置和调优之前,需全面描述现状。考虑以下几个维度:
- 确定连接到 Web 服务器的用户组,了解其可信度、所需权限以及连接位置。
- 明确 Web 服务器的管理方式和管理人员,区分系统与服务器管理和 Web 内容管理。
- 检查不同 Web 应用对服务器行为的要求,必要时拆分应用。
假设网站部署情况如下:六个 Web 服务器实例分布在三个网站托管服务器上,公共用户和内部用户分别通过不同的反向代理访问。反向代理根据可访问站点过滤连接的服务器实例。
graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(公共用户) --> B(公共反向代理) C(内部用户) --> D(内部反向代理) B --> E(Web 服务器实例 1 - 6) D --> E(Web 服务器实例 1 - 6) E --> F(网站托管服务器 1 - 3)
