业务访问需求

在selinux采用默认设置enforcing且系统防火墙开启的场景下，把系统SSH服务的端口22修改成32222，另外，仅允许外部主机（192.168.1.3）可SSH远程访问该系统。

测试系统版本

[root@localhost ~]# cat /etc/redhat-release

CentOS Linux release 7.9.2009 (Core)

[root@localhost ~]#

以Server GUI方式安装操作系统；

业务访问需求实现步骤

修改系统SSH服务的默认端口

修改SSH服务的配置文件/etc/ssh/sshd_config，在配置文件的第17行 #Port 22的下一行添加内容，Port 32222。

然而，重启SSH服务发现如下报错；

[root@localhost ~]# systemctl restart sshd.service

Job for sshd.service failed because the control process exited with error code. See "systemctl status sshd.service" and "journalctl -xe" for details.

[root@localhost ~]#

使用命令journalctl –xe查看报错信息，如下图所示；

关键信息：

SELinux is preventing /usr/sbin/sshd from name_bind access on the tcp_socket port 32222. For complete SELinux messages run: sealert -l 2c7c7bbb-16e9-4b0e-abb5-d162433bcdfe

SELinux is preventing /usr/sbin/sshd from name_bind access on the tcp_socket port 32222

即，SELinux阻止了SSH服务（绑定的32222端口）地启动。

可根据提示“sealert -l 2c7c7bbb-16e9-4b0e-abb5-d162433bcdfe”详细查看SELinux阻止的安全审计日志，当然我们也可通过命令“sealert -a /var/log/audit/audit.log”查看SELinux所有的安全审计日志。

添加SELinux控制SSH服务的端口

#在selinux中查询SSH服的端口

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t tcp 22

[root@localhost ~]#

#在selinux中对SSH服务添加TCP端口32222

[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 32222

#在selinux中查询SSH服务添加的端口

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t tcp 32222, 22

[root@localhost ~]#

添加完成后，再次尝试重启SSH服务，无报错。

系统防火墙添加SSH服务访问控制规则

#仅允许主机192.168.1.3访问该系统的TCP 32222端口

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.3/32" port port="32222" protocol="tcp" accept'

success

[root@localhost ~]#

#使能配置的安全规则

[root@localhost ~]# firewall-cmd --reload

success

[root@localhost ~]#

#查看生效后的访问控制规则

[root@localhost ~]# firewall-cmd --zone=public --list-rich-rules

rule family="ipv4" source address="192.168.1.3/32" port port="32222" protocol="tcp" accept

[root@localhost ~]#

测试访问

经实际测试，仅主机192.168.1.3可SSH远程访问系统，其它主机则无法访问。

总结

结合实际的业务访问需求，总体说明SELinux和系统防火墙的配置，以便小伙伴根据此案例解决实际工作中遇到的问题。

以上总结，希望各位小伙伴有所收获，不足之处，欢迎各位小伙伴留言指正。