总体关系
- SELinux 是内核中的 强制访问控制(MAC) 子系统,给进程、文件、端口等对象打上安全上下文标签,按“最小权限”原则决定能否访问,关注“谁能访问什么资源”。
- Linux 防火墙 基于内核的 Netfilter 框架,在网络层按源/目的地址、端口、协议等过滤流量,关注“哪些网络流量可以进出”。
- 二者工作在不同层面、互为补充:防火墙是“网络边界的守门人”,SELinux 是“系统内部的守门人”。在生产环境中建议同时启用,降低被突破后的影响范围。
层次与职责对比
| 维度 |
SELinux |
Linux 防火墙 |
| 工作层次 |
内核 MAC,作用于进程/文件/端口等对象 |
内核 Netfilter,作用于网络数据包 |
| 控制粒度 |
进程域(domain)对资源类型的访问(如 httpd_t 能否读 httpd_sys_content_t) |
五元组/端口/协议等(如仅放行 TCP 80/443) |
| 主要目标 |
限制进程越权与横向移动,即使本地被入侵也受限 |
阻断未授权连接、减少攻击面 |
| 策略/规则载体 |
安全策略与安全上下文标签 |
iptables/firewalld/nftables 规则 |
| 典型场景 |
服务被攻破后,限制其对敏感文件/进程的操作 |
对外仅暴露必要端口与服务 |
| 工具与命令 |
getenforce/setenforce/sestatus/semanage/restorecon |
iptables/firewalld/firewall-cmd |
| 模式/状态 |
Enforcing/Permissive/Disabled |
规则集的开启、放行/拒绝策略 |
说明:在 RHEL/CentOS 等发行版中,SELinux 默认启用并采用 targeted 策略;firewalld 是常用的防火墙管理工具,底层仍是 Netfilter。
协同工作与互补
- 网络层先由防火墙决定是否放行连接;若放行,SELinux 再决定该进程能否对目标资源执行具体操作(读/写/绑定等)。
- 两者任一关闭都会削弱整体安全:只开防火墙,被攻破的进程仍可越权;只开 SELinux,无法阻止未授权网络连接。
- 在 容器/虚拟化 环境中,SELinux 的隔离能力可扩展到容器与虚机工作负载,与宿主机防火墙共同构成纵深防御。
常见误区与排错要点
- 误区一:认为开放防火墙端口就万事大吉。实际还需 SELinux 允许进程绑定/访问该端口与资源(例如某些服务端口类型受限)。
- 误区二:把 iptables/firewalld 与 SELinux 当作同类工具。前者管“网络流量”,后者管“系统资源访问”,职责不同。
- 排错思路:
- 检查 SELinux 模式与策略:getenforce、sestatus;
- 临时切为 Permissive 验证是否为 SELinux 导致(仅记录不拦截);
- 查看 /var/log/audit/audit.log(可用 audit2allow 辅助分析);
- 必要时调整安全上下文或策略,再恢复 Enforcing。
快速上手建议
- 保持 SELinux 为 Enforcing,仅在排错时短时切 Permissive;生产环境不建议 Disabled。
- 用 firewalld 管理防火墙:按“最小暴露面”原则只开放必需端口/服务,变更后用 –reload 使规则生效。
- 遇到服务访问异常(如自定义目录、非默认端口):先确认防火墙已放行,再用 semanage/restorecon 修正安全上下文或端口类型,最后回到 Enforcing。