SELinux对CentOS网络的限制主要体现在以下方面:
- 进程网络访问权限:限制网络服务(如Nginx、httpd)的进程能否发起网络连接、访问特定端口或IP地址。例如,默认可能阻止Nginx连接外部服务,需通过
setsebool -P httpd_can_network_connect 1开启。
- 端口使用限制:为不同服务定义可绑定的端口类型,非标准端口需手动添加策略。如Nginx默认只能使用80、443等端口,若使用9000端口,需执行
semanage port -a -t http_port_t -p tcp 9000。
- 文件与目录访问控制:通过网络服务进程的安全上下文,限制其对文件或目录的访问。例如,自定义Web根目录需设置正确的SELinux上下文(如
httpd_sys_content_t)才能被Web服务访问。