14、网络通信控制与虚拟化安全：SELinux 实战指南

网络通信控制与虚拟化安全：SELinux 实战指南

1. 网络通信控制

在网络通信控制方面，存在顶层和底层控制之分。顶层控制在域级别处理，例如httpd_t；底层控制在对等级别处理，例如netlabel_peer_t。

1.1 使用旧风格控制

大多数 Linux 发行版启用了network_peer_control功能，这是 SELinux 子系统的一项增强功能，使用对等类来验证对等流量。不过，SELinux 策略可以选择回到之前的方法，即不再通过对等类控制对等流量，而是使用tcp_socket类进行通信。此时，tcp_socket类将用于对等域，并使用recvfrom权限。

可以通过 SELinux 文件系统查询network_peer_control功能的当前值：

# cat /sys/fs/selinux/policy_capabilities/network_peer_controls 1

如果该值为 0，则之前提到的对等控制将通过tcp_socket类而不是对等类处理。需要注意的是，策略功能由 SELinux 策略本身硬编码，管理员无法控制。

1.2 标记 IPsec

在 IPsec 设置中有两个重要概念：
-