21.9. 防火墙和实例配置集
最常见的操作系统包括基于主机的防火墙用于额外的安全层。虽然实例应尽可能多地运行(在单一用途实例的点上),在实例上运行的所有应用程序都应进行配置,以确定应用需要访问的系统资源、运行所需的最低特权级别,以及预期的网络流量。此预期流量应当作为允许的流量添加到基于主机的防火墙中,以及 SSH 或 RDP 等任何必要的日志记录和管理通信。所有其他流量都应在防火墙配置中明确拒绝。
在 Linux 实例上,上述应用程序配置文件可与 audit2allow
等工具一起使用,以构建 SELinux 策略,进一步保护大多数 Linux 发行版上的敏感系统信息。SELinux 使用用户、策略和安全上下文的组合来划分应用运行所需的资源,并将其与不需要的其他系统资源进行分段。
注意
Red Hat OpenStack Platform 默认启用了 SELinux,策略是为 OpenStack 服务自定义的。根据需要,请考虑定期检查这些策略。