Ubuntu如何利用SELinux增强安全

Ubuntu启用与配置SELinux的实操指南

一 前置说明与准备

• Ubuntu 默认使用 AppArmor，并非 SELinux。要在 Ubuntu 上使用 SELinux，需要安装组件、启用策略并在必要时定制。准备要点：
  • 备份关键数据与配置（如 /etc、/var/lib）。
  • 规划维护窗口，因首次从禁用切换到启用会触发文件系统重新标记（relabel），耗时与数据量相关。
  • 建议在测试环境验证后再上线生产。

二 安装与启用步骤

• 安装必要软件包（含策略与工具）：
  • sudo apt update
  • sudo apt install selinux-basics selinux-policy-default selinux-utils auditd
• 启用 SELinux 并配置启动参数：
  • sudo selinux-activate（在 GRUB 启动参数中添加 security=selinux）
• 设置运行模式（两种等效方式）：
  • 临时切换：sudo setenforce 1（Enforcing）/ 0（Permissive）
  • 永久生效：编辑 /etc/selinux/config
    • SELINUX=enforcing（或 permissive）
    • SELINUXTYPE=default（或 mls；如选 mls 需安装相应策略包）
• 重启并验证：
  • sudo reboot
  • sestatus（应看到 enabled，Current mode 为 enforcing/permissive；Policy 为 default/mls）

三 日常运维与策略管理

• 查看与恢复安全上下文：
  • 查看：ls -Z、ps -Z
  • 恢复：sudo restorecon -R /var/www（示例对 Web 目录重打标签）
• 管理布尔值（动态策略开关）：
  • 查看：getsebool -a
  • 开关：sudo setsebool -P httpd_enable_homedirs 1（示例允许 httpd 访问用户主目录）
• 分析拒绝日志与排障：
  • 查看 AVC 拒绝：sudo ausearch -m AVC -ts today
  • 解释原因：sudo audit2why < /var/log/audit/audit.log
• 定制策略模块（最小权限）：
  • 生成模板：sepolgen --init
  • 编写 .te 规则后用 make -f /usr/share/selinux/devel/Makefile 编译
  • 加载模块：sudo semodule -i my_policy.pp

四 场景化加固示例

• Web 服务（Apache/Nginx）：
  • 确保文档根目录与日志目录具有正确的 httpd_sys_content_t / httpd_log_t 等类型
  • 如应用需要访问用户主目录：sudo setsebool -P httpd_enable_homedirs 1
• 数据库（MySQL/PostgreSQL）：
  • 数据目录与套接字文件需匹配数据库域类型（如 mysqld_db_t），避免被非授权进程读写
  • 通过 ausearch/audit2why 定位被拒访问并微调布尔值或上下文
• 自定义守护进程：
  • 定义进程类型（如 myapp_t）与客体类型（如 myapp_log_t）
  • 仅授予必需权限（read/write/open 等），以最小权限原则编译并加载策略模块

五 注意事项与最佳实践

• 模式选择：上线前先在 Permissive 观察一段时间，确认无明显拒绝后再切到 Enforcing；故障排查优先用日志与 audit2why 定位根因。
• 首次启用会触发文件系统重新标记，大容量磁盘耗时较长，请在维护窗口执行。
• 性能与兼容性：SELinux 会带来一定性能开销；个别应用可能与策略冲突，需通过布尔值或定制策略适配。
• 工具与文档：安装 selinux-utils、auditd、setools 等便于策略管理与审计；Ubuntu 对 SELinux 的支持度不如 RHEL/CentOS，若需完整特性与官方支持，可评估发行版选型。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！