一提到安全，大家都會想到防火墻，和文件系統(tǒng)權(quán)限。而實(shí)際工作環(huán)境中，我們在 Linux 的安全配置，會涉及到四個級別。我們思考一個場景，你要在百度盤中存放一個文件，這個動作需要考慮下面四個權(quán)限。

成都創(chuàng)新互聯(lián)10多年成都企業(yè)網(wǎng)站定制服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計(jì)及高端網(wǎng)站定制服務(wù),成都企業(yè)網(wǎng)站定制及推廣,對成都隧道混凝土攪拌車等多個方面擁有多年的網(wǎng)站推廣經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。

1 firewall  # firewall-cmd ...

你在訪問服務(wù)器時，首先會經(jīng)過防火墻。

2 service   # vim /etc/*.conf

當(dāng)你訪問百度盤的服務(wù)時，只能訪問自己的百度盤。

3 filesystem # chown, chmod, setfacl

我們將文件存在百度盤時，你需要有服務(wù)器上本地的寫權(quán)限。

4 selinux    # vim /etc/selinux/config

Selinux是安全增強(qiáng)，他在上面三個安全的基礎(chǔ)上又做了一層安全保護(hù)。

Selinux在端口上的安全增強(qiáng)，我們叫他port端口標(biāo)簽。在配置apache服務(wù)時，我們修改了默認(rèn)的服務(wù)端口，服務(wù)無法啟動。要在semanage port端口標(biāo)簽中，加入你想使用的端口號，服務(wù)就可以正常啟動了。

Selinux在服務(wù)上的安全增強(qiáng)，我們叫他bealoon布爾值。在配置samba服務(wù)時，如果你想將用戶的家目錄也共享出來，必須將samba_enable_home_dirs這個布爾值打開。用戶才能訪問自己的家目錄共享。

Selinux在文件系統(tǒng)上的安全增強(qiáng)，我們叫他fcontext上下文關(guān)系。在配置samba服務(wù)時，如果你將一個頂級目錄共享，比如“/common”。這個文件夾如果要讓他有讀、寫權(quán)限的話，必須修改該文件夾的上下文關(guān)系為“samba_share_t”。