经常听人说装完Fedora之后的第一件事就是把SELinux和iptables关掉,甚至搜索一下这两个东西,多数博客都是教用户如何关闭它们而不是如何正确的使用它们。
正好这段时间对这两者有了一些肤浅的认识,在这里说一下。
首先我们要摆正态度,要知道现在大行其道的OpenStack的nova-network所用的IP地址内外网映射(NAT)就是用iptables实现的,而且表现非常优异。而SELinux则是NSA(美国国家安全局)斥巨资开发的。它们如果真的像多数人所说的,应该上来就关掉,那么就不会有那多年的发展了。
言归正传,下面来对它们二者做一个简单的介绍。
iptables
先来弄清楚iptables和netfilter的关系。iptables防火墙由Netfilter项目(http://www.netfilter.org)开发,自2001年1月在Linux2.4内核发布以来就是Linux的一部分了。
Netfilter是由Linux提供的所有包过滤和包修改设施的官方项目名称,但这个术语同时也指Linux内核中的一个框架,它可以用于在不同的阶段将函数挂接(hook)进网络栈。另一方面,iptables使用Netfilter框架旨在将对数据包进行操作(如过滤)的函数挂接进网络栈。
所以,你可以认为Netfilter提供了一个框架,而iptables在它之上建立了防火墙功能。
同时iptables还指同名的用户层工具,它解析命令行并将防火墙策略传递给内核。术语表(table)、链(chain)、匹配(match)、目标(target)只有在iptables的上下文中才有意义。
使用iptables进行包过滤
表
iptables一共有四张表,称为filter, nat, mangle, raw。filter用于过滤,nat用于网络地址转换,mangle用于给数据包做标记以修改分组数据的特定规则,raw表则独立于Netfilter连接跟踪子系统。
因此,如果你的目标是保护主机安全,那么着重考虑的是filter表,而如果像OpenStack那样,目的是做网络地址转换,就用NAT表,而mangle则用于QoS(服务质量控制),如对打上某个标记的分组数据分配较多带宽等等。
链
每个表都有自己的一组内置链,用于还可以对链进行自定义。
对filter表来说,最重要的是内置链INPUT/OUTPUT/FORWARD。顾名思义,INPUT应用于外部网络进入到本地主机的数据包,OUPTU则应用于从本地主机发送到外部网络的数据包。FORWARD则可以理解为将本地主机作为路由器,数据包从本地主机经过,但目标位于本地主机的下游。
<!-- 先去吃个饭,回来再写,或说现在正发高烧38.5度,还坐在宿舍写博客 -->
对于NAT来说,最重要的就是搞清楚PREROUTING和POSTROUTING链了。这个可以这么简单的理解,数据包从外部流入,在进入主机前给它PREROUTING,也就是“预路由”,即改变分组数据的目标地址或端口号。通常所说的端口转发就是在这里了。
举个简单的例子,在OpenStack的网络管理中,通常一个虚拟机会有一个外网IP和一个内网IP,那么节点的iptables规则里面就会有类似这样的语句
iptables -t nat -A PREROUTING -d 115.12.XX.XX -j DNAT --to-destination 192.168.1.111 iptables -t nat -A POSTROUTING -s 192.168.1.111 -j SNAT --to-source 115.12.XX.XX
这条语句的意思就是目标地址为虚拟机外部地址115.12.XX.XX的数据包会被iptables重定向(修改数据包的目的地址)到192.168.1.111,同时,从192.168.1.111发出的数据包,iptables会将其源地址修改为115.12.XX.XX。从内部这里没有涉及端口,如果有端口,再加上--dport和--sport即可。
详细的流程可以参考http://www.opsers.org/security/iptables-related-concepts-and-processes-the-packet-figure.html
下面就说一下基本的命令吧,要说复杂iptables还真复杂,不过正常使用的话下面这些也差不多够了。
1 -t 指定表名 2 -A 新增规则(ADD) 3 -I 插入规则,需要指定插入的位置 4 -D 删除规则,只需要指定位置,不需要再重新写一遍当前规则 5 -L 列出当前所有规则 6 -V 显示当前iptables版本号
注意一点,如果不指定表名,则默认是filter表。
另外指出发行版的一点不同,在RHEL系(CentOS/Fedora)上,可以使用
service iptables restart
或
systemctl restart iptables.service
来重启iptables服务以加载默认的规则,而在Debian系(Ubuntu一众)则没有iptables这个服务,如果需要清空所有iptables规则,则需要
1 iptables -t filter -F 2 iptables -t filter -X 3 iptables -t nat -F 4 iptables -t nat -X 5 iptables -P INPUT ACCPET 6 iptables -P OUTPUT ACCEPT 7 iptables -P FORWARD ACCEPT
这样等同于所有规则都没有生效,也即关闭了iptables。另外Debian系提供了ufw作为简单的防火墙控制工具。
SELinux
这个恐怕是让更多人头疼的东西。我更是听说红帽有些工程师在解决问题时也是 先关掉这东西。
首先明白一点,SELinux是干什么用的,同样是为了计算机的安全,那么它和iptables的功能有重叠吗?
答案是没有。
它们的定位是不同的。iptables是防火墙,防范来自网络的入侵和实现网络地址转发、QoS等功能,而SELinux则可以理解为是作为Linux文件权限控制(即我们知道的rwx)的补充存在的。
我们知道,Linux的文件权限主要是rwx三类,即读、写、执行。撇开那些特殊的如s/u/t位不提,这三个权限控制真的能保证系统的绝对安全吗?
以Apache Http服务器为例(好像在说SELinux的时候那些前辈总是喜欢拿这个来举例子)。当一台服务器上跑着HTTP服务,我们访问这台服务器时是以apache用户来访问系统上的文件的,在HTTP的DocumentRoot目录下的文件对我们来说是可读的,而同样,单纯看rwx的权限,/etc/passwd这个敏感文件对apache用户也是可读的,因为它的权限位是-rw-r--r--,也就是对o(thers)是可读的,因此可以这样认为,网络攻击者如果可以以apache用户登录系统,它就可以查看/etc/passwd文件,知道系统中有哪些用户等等信息。但如果开启了SELinux就不会出现这种情况。为什么呢?
你可以用ls -Zl来查看SELinux有关的信息(前提是开启了SELinux服务)
可以看到,在默认的HTTPDocumentRoot目录下的文件有
system_u:object_r:httpd_sys_content_t:s0
这样的安全上下文,其中的类型字段httpd_sys_content_t即表明这是http的内容文件,可以被http程序访问。显然其他目录下的文件没有同样的类型字段。这也就是为什么当你手动修改了DocumentRoot目录之后虽然在iptables里已经开放了网络访问,但仍然无法打开网页的原因了——因为apache用户对你新指定的目录下的文件没有读取的权限,因此SELinux是建立在Linux标准的权限控制基础上的增强型Linux。
还需要注意一点,当你复制一个文件到另一个目录时,新复制的文件会继承目标目录的SELinux上下文,而如果是移动文件则会保留源文件的SELinux上下文(context)。
例如需要让新目录可以被apache访问,需要对新目录执行
chcon -R -t httpd_sys_content_t /srv/www
其中-R是recursive即递归执行,-t是指定类型,这个类型可以用
semanage fcontext -l | grep '/var/www'
来获得。
要给一个目录下的所有文件设置安全上下文,可以用
semanage -a -t public_content_t '/srv/ww(/.*)'
注意,这里用的是正则表达式而不是用"*"作为通配符。
写这篇文章的目的不是具体介绍这两个工具具体怎么用,因为那是参考手册的工作,而我想说的是其实它们远没有你想像的那么难,不要听别人说它们有多复杂,只把它们当成普通的命令来学习来用也就好了。我身边的一位很厉害的网络工程师对iptables玩的炉火纯青,却对SELinux一无所知。我是不太理解,如果按照一般的学习的心态来看待两种技术(或者说工具)其复杂度也差不多,只要理解了它们的用途或者说目的,就可以很得心应手的使用它们了。
参考:
[1]. Linux防火墙(Linux Firewalls Attack Detection and Response with iptables, psad, and fwsnot)
[2]. 鸟哥的Linux私房菜(服务篇)http://vbird.dic.ksu.edu.tw/linux_server/0210network-secure_4.php#selinux
