Настройка Firewall и SELinux в CentOS Stream 10 включает проверку статуса служб, управление правилами доступа и отключение защиты при необходимости.
1. Проверка статуса Firewall
Проверить состояние службы брандмауэра можно следующей командой (включен по умолчанию):
[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; preset>
Active: active (running) since Mon 2024-12-16 12:55:14 JST; 5min ago
Invocation: cec5e63516824552848844a595e394d8
Docs: man:firewalld(1)
Main PID: 877 (firewalld)
Tasks: 2 (limit: 24780)
Memory: 47.9M (peak: 49.9M)
CPU: 242ms
CGroup: /system.slice/firewalld.service
+-- 877 /usr/bin/python3 -sP /usr/sbin/firewalld --nofork --nopid
Строка Active: active (running) означает, что firewalld запущен и работает.
2. Управление службой Firewall
При использовании брандмауэра требуется ручная настройка правил, так как входящие подключения для большинства служб по умолчанию заблокированы. Примеры конфигурации на этом сайте предполагают, что служба firewalld всегда активна.
Если брандмауэр не требуется (например, в локальной сети уже используется внешнее защитное оборудование), его можно остановить и отключить:
# остановить службу [root@localhost ~]# systemctl stop firewalld # отключить автозапуск [root@localhost ~]# systemctl disable firewalld Removed '/etc/systemd/system/multi-user.target.wants/firewalld.service'. Removed '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'.
3. Проверка статуса SELinux
Текущий режим работы SELinux (Security-Enhanced Linux) отображается командой (включен по умолчанию):
[root@localhost ~]# getenforce Enforcing
Вывод Enforcing означает, что SELinux активен и применяет политики безопасности.
4. Управление режимом SELinux
При включенном SELinux может потребоваться ручная корректировка политик, так как они иногда блокируют работу сторонних приложений. Все примеры конфигурации для CentOS Stream 10 рассчитаны на режим Enforcing.
Если функция SELinux не требуется (например, сервер работает исключительно в защищенной локальной сети), её можно отключить на уровне загрузчика:
# отключить SELinux [root@localhost ~]# grubby --update-kernel ALL --args selinux=0 # применить изменения, перезагрузив систему [root@localhost ~]# reboot
Для возврата к включенному состоянию выполните:
[root@localhost ~]# grubby --update-kernel ALL --remove-args selinux

