selinux与firewall在centos中如何配合

在CentOS中，SELinux与firewalld可通过以下方式配合：

1. 配置SELinux策略：通过修改/etc/selinux/config文件设置模式（如强制模式Enforcing），用semanage命令管理端口、服务等相关策略，限制进程对文件和资源的访问。
2. 设置firewalld规则：使用firewall-cmd命令添加、删除或修改规则，如开放特定端口、限制IP访问等，并通过--permanent参数保存规则，--reload重新加载配置。
3. 策略协同：配置firewalld规则时考虑SELinux策略，确保两者对服务和端口的访问控制一致，如SELinux限制只有特定服务能访问的端口，firewalld则具体控制该服务的端口访问权限。
4. 日志审计：定期查看SELinux的/var/log/audit/audit.log和firewalld的日志，使用audit2why和audit2allow工具分析SELinux日志，以便及时发现潜在安全问题。