Ubuntu如何测试SELinux策略

Ubuntu测试SELinux策略的实操流程

一 环境准备与启用

• 安装所需软件包：sudo apt update & & sudo apt install -y selinux-basics selinux-policy-default selinux-utils auditd setools。
• 启用 SELinux：检查状态用 sestatus 或 getenforce；切换到宽松模式用 sudo setenforce 0，切回强制模式用 sudo setenforce 1。
• 持久化配置：编辑 /etc/selinux/config，将 SELINUX=permissive（先测再上强制），保存后重启。
• 注意：在 Ubuntu 上 SELinux 的支持相对有限，若需完整特性可优先考虑 RHEL/CentOS。

二 基线验证与问题定位

• 查看拒绝事件：用 ausearch -m avc -ts recent 检索最近的 AVC 拒绝；或用 grep AVC /var/log/audit/audit.log 直接过滤。
• 解释拒绝原因：用 audit2why < /var/log/audit/audit.log 获取可读说明与修复建议。
• 上下文核查：用 ls -Z 查看文件上下文，用 ps -eZ 查看进程上下文，确认是否因标签不当导致拒绝。
• 辅助工具：安装并使用 setroubleshoot，可更直观地分析 /var/log/audit/audit.log 并给出处理建议。

三 策略测试与验证

• 宽松模式回归测试：将 SELinux 设为 Permissive，执行目标业务操作（如启动服务、访问文件/端口、执行脚本），确认功能可用且产生预期的 AVC 日志。
• 生成最小策略模块：从日志中提取拒绝项，使用 audit2allow -M mypol 自动生成模块 mypol.pp；如需人工编写，可创建 .te 规则文件后用 checkmodule 与 semodule_package 编译打包。
• 加载与回放验证：加载模块 sudo semodule -i mypol.pp，切回 Enforcing 复测；若仍有拒绝，重复“定位—生成—加载”的闭环，直至功能恢复正常且日志无相关 AVC。
• 验证要点：功能是否按预期工作、相关 AVC 是否消失、是否引入过度授权（避免直接 allow all）。

四 常见场景的最小测试用例

• Web 服务文件访问：在 Permissive 下访问 /var/www/html，若被拒用 ausearch/audit2why 定位；必要时用 audit2allow 生成模块并加载，再在 Enforcing 下验证页面访问与日志清零。
• 自定义应用受限：为应用进程类型（如 myapp_t）编写最小 .te 规则，编译为 .pp 并加载；执行应用关键路径，确认访问被允许且未影响其他进程。
• 布尔开关验证：对支持布尔值的服务（如 httpd_enable_homedirs），用 sudo setsebool -P httpd_enable_homedirs 1 永久开启后在 Enforcing 下验证主目录访问。

五 回滚与安全建议

• 快速回滚：卸载模块 sudo semodule -r mypol；临时关闭用 sudo setenforce 0；永久关闭需改 /etc/selinux/config 的 SELINUX=disabled 并重启。
• 安全建议：优先在 Permissive 下完成问题定位与最小策略收敛，再切 Enforcing；避免以 root 身份运行被测服务；每次只变更少量规则并保留变更记录与回滚方案；生产环境谨慎变更，必要时先在测试环境验证。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！