如果你正用RHEL来构建Linux服务器环境，将会有不同的安全解决方案。某些时候，你可以使用多个方法来完成一个解决方案。在这篇文章中，你将学习不同情况下最好的解决方案，从而你能针对安全任务选择正确的方式。

　　在RHEL上使用安全技术有4个重要方法。第一，你可以使用应用防火墙SELinux。其次，你可以使用iptable防火墙。你还可以在某些特别服务中运用TCP Wrapper。最后，你还能使用很多服务自带的安全功能。构建一个安全的环境，意味着你要仔细考虑如何将不同的方案整合起来。

使用SELinux

　　在RHEL中，最严格的安全解决方案也许就是SELinux。这个安全框架由Linux内核强制执行并尽可能地将应用程序限制在职责范围内。为了达到这一点，它规定特定属性来指定一个设备能做什么,不能做什么。例如，如果你想要让Apache web服务器读取根目录之外的文件，你就需要启用布尔设置。除了这些与布尔设置相关的工作，SELinux还利用文件系统标签来弄清楚各种文件系统中需要的内容。

　　使用SElinux能够让你的应用更加安全，但也就意味着恰当设置应用程序会有更多工作。你会注意到，默认设置在很多情况下都能工作，但如果你想要超出默认设置，就需要更改SELinux设置，这会很艰巨。不过，SELinux将会一直被启用，因为它能防止应用程序因为缺陷而准许没有授权的用户进入。

使用iptable防火墙

　　你可以使用iptable作为第二道防线。这条命令修改存在于所有Linux发行版中内核级别的防火墙。使用iptable旨在确保只有你真正想用的服务可用。默认安装之后所有的服务都不可用，只有你特别指定后的服务才可用。不只iptable可以由你限制指定服务的访问，你还可以把它和源地址、目标地址联合来允许服务的特定网络访问。在很多企业网络中，它不需要作为防火墙安装在网络外围。如果你有许多服务器需要管理，由路由器来决定哪些网络需要启用哪些端口而哪些端口不需要启用将是很有意义的。

使用TCP wrapper

　　TCP Wrapper是一种用来保护服务的陈旧方式，在RHEL服务器上不是对所有服务都有效。只有那些使用libwrap库文件编写程序的服务能够使用TCP Wrapper。针对这些服务，有两个配置文件能够使用：/etc/hosts.allow和/etc/hosts.deny。通过这些配置文件，你可以定义哪些主机能访问哪些服务。使用TCP Wrapper的限制在于不能为所有服务工作。因此，最好是完全不用它并且通过iptable来控制对服务的访问。

服务自带安全

　　安全设置的最后一部分，就是服务自带安全。这也许是你一直都会使用的。使用服务自带安全设置，你可以调整特定服务提供的内容和用户可以访问这些服务中的哪些。特定服务安全设置还是提供服务真正需要的东西，所以一定不要忘了配置。

　　但是，你在服务自带安全设置所做设置的和在更高级别所应用的设置会有一些重合。例如，你可以告诉NFS服务器，你的Samba服务器要像邮件服务器一样，拒绝来自某些主机的访问。你也可以在防火墙级别或者使用TCP Wrapper时观察到类似的访问规则。你选哪一个呢？

　　在服务级别使用安全设置的优势在于，你可以明确指定。例如使用Samba安全，你可以授权主机访问某个共享，同时禁止访问其它共享。但当你仅使用iptable时，就不能使用类似的特别安全设置。因此，当指定服务级别安全的时候，你可以指定到具体的用户账号，但使用类似iptable的解决方案就不可能。

构建RHEL安全配置

　　使用SELinux来启动RHEL安全配置是一个好主意。很多时候你都必须这样，SELinux能够防止你在执行某些具体任务时冒险。一旦使用SELinux开启了这个服务，你就可以继续下一级，就是iptable防火墙。但这一级是可选的，因为你也许有公司政策，由路由器来处理防火墙问题。最好不要用TCP wrapper，这类型的安全不太通用，因为它只能为某些服务工作，会被其它服务完全忽略。最后但也许是最重要的，你必须在个人服务中配置安全设置——你需要正确执行这个操作，或者正确配置服务功能。