Ubuntu SELinux权限设置详解

Ubuntu 启用 SELinux 与权限设置全流程

一 前置说明与准备

• Ubuntu 默认使用 AppArmor，并非 SELinux。如确需使用 SELinux，需要手动安装并启用相关组件，且需理解其复杂度与维护成本。生产环境若没有明确的 SELinux 需求，通常建议继续使用 AppArmor。启用 SELinux 前建议备份数据与配置。
• 建议准备：可维护的 root/sudo 权限、已安装 auditd（审计日志）、一台可重启的测试环境（首次启用会触发文件系统重标记）。

二 安装与首次启用

• 安装基础组件与策略包（不同版本包名可能略有差异）：
  • sudo apt update
  • sudo apt install selinux-basics selinux-policy-default auditd
• 激活 SELinux（Ubuntu 提供的便捷脚本）：
  • sudo selinux-activate
• 首次启用建议先设为宽容模式并重启，以便自动完成文件重标记：
  • 编辑 /etc/selinux/config：SELINUX=permissive
  • 重启后检查：sestatus、getenforce
• 从“禁用”切换到“启用”时，必须重启；如从 enforcing/permissive 改为 disabled 也需重启。首次在 enforcing 下运行前，确保已成功完成一次全量重标记（否则可能出现访问异常）。

三 模式切换与持久化配置

• 查看状态：
  • sestatus（整体状态与策略）
  • getenforce（Current mode：Enforcing/Permissive/Disabled）
• 临时切换（仅当前会话，不能切换为 disabled）：
  • sudo setenforce 0（Permissive）
  • sudo setenforce 1（Enforcing）
• 永久配置（编辑 /etc/selinux/config）：
  • SELINUX=enforcing | permissive | disabled
  • 如启用 MLS：SELINUXTYPE=mls（需安装对应策略包）
• 重要提示：
  • 从 disabled → enforcing/permissive 必须重启，且会触发文件系统重新打标签（首次可能耗时较长）。
  • 不建议长期在生产环境使用 disabled；排查问题可先用 permissive 收集 AVC 拒绝日志，再回到 enforcing。

四 权限设置与常用操作

• 文件与目录上下文（标签）
  • 查看默认上下文：sudo semanage fcontext -l
  • 添加自定义上下文（例：将目录设为 httpd 只读内容）：
    • sudo semanage fcontext -a -t httpd_sys_content_t “/var/www/html/myapp(/.*)?”
  • 应用标签变更：sudo restorecon -Rv /var/www/html/myapp
  • 临时修改（不写入策略库）：sudo chcon -t httpd_sys_content_t /var/www/html/file
• 布尔值开关（服务特性）
  • 查看/开关布尔值：sudo getsebool httpd_enable_homedirs；sudo setsebool -P httpd_enable_homedirs 1（持久化）
• 查看与分析拒绝日志
  • 实时/近期 AVC：sudo ausearch -m avc -ts recent
  • 生成报表：sudo aureport -m avc
• 端口类型（示例）
  • 查看端口类型：sudo semanage port -l | grep http_port_t
  • 添加端口类型（示例）：sudo semanage port -a -t http_port_t -p tcp 8080
• 提示：semanage/restorecon/chcon 属于策略管理基础工具，适用于大多数常见目录、端口与服务的标签与权限调整。

五 自定义策略与故障排查

• 快速生成模块（基于 AVC 拒绝日志）
  • 抓取并生成可加载模块：sudo ausearch -c ‘myapp’ --raw | audit2allow -M myapp
  • 加载模块：sudo semodule -i myapp.pp
  • 验证：getenforce、服务功能与日志是否恢复正常
• 编译型模块（进阶）
  • 编写 .te 策略源文件 → 使用 checkmodule/semodule_package 编译打包 → semodule -i 加载
  • 适用于复杂场景与长期维护的策略沉淀
• 故障排查流程建议
  • 1）将 SELinux 临时切为 permissive，确认问题是否消失；2）用 ausearch/aureport 定位 AVC denied；3）优先用 audit2allow 生成最小必要规则并验证；4）回到 enforcing 并持续观察日志；5）必要时调整 fcontext/port 并重打标签。
• 重要提醒
  • 在 Ubuntu 上启用与维护 SELinux 的社区资料与工具链相对 RHEL/CentOS/Fedora 较少，遇到复杂问题需具备一定的 SELinux 策略编写与调试能力；若无法满足运维复杂度，可评估继续使用 AppArmor 作为替代方案。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！