Ubuntu SELinux如何管理文件访问

Ubuntu 上启用与前提

• Ubuntu 默认使用 AppArmor 而非 SELinux。如确需使用 SELinux，应先安装并启用相关组件，再按 SELinux 的方式管理文件访问。
• 安装与启用步骤（示例）：
  • 安装基础与策略工具：sudo apt-get update & & sudo apt-get install selinux-basics selinux-policy-default policycoreutils
  • 启用 SELinux（安装器会引导设置并提示重启）：sudo selinux-activate
  • 重启后验证：sestatus（应显示 enabled 与当前模式）
  • 注意：在 Ubuntu 上 SELinux 的支持与生态相对有限，生产环境需充分测试与评估。

管理文件访问的核心机制

• SELinux 通过给进程与文件打上**安全上下文（Security Context）并实施类型强制（Type Enforcement）**来管控访问：进程运行在特定的“域”（domain），文件具有“类型”（type）；只有当策略允许该域对目标类型执行相应访问（如读、写、执行）时才放行，且与传统的 DAC（rwx/属主/属组） 共同决定最终权限。典型字段形如：user:role:type:level。例如 Web 服务进程域 httpd_t 通常可读 httpd_sys_content_t 类型的文件。

文件访问管理常用操作

• 查看与理解上下文
  • 查看文件/目录：ls -Z /path
  • 查看进程：ps -eZ
• 临时修改文件上下文（重启或 restorecon 后可能恢复）
  • chcon -t 类型 文件/目录（如：chcon -t httpd_sys_content_t /var/www/html/index.html）
• 永久修改默认上下文与生效
  • 添加默认映射：semanage fcontext -a -t httpd_sys_content_t “/var/www/html(/.*)?”
  • 应用默认标签：restorecon -Rv /var/www/html
• 布尔值开关（服务功能的细粒度控制）
  • 查看：getsebool -a | grep 服务名
  • 临时/永久设置：setsebool 布尔名 on|off；加 -P 为永久（如：setsebool -P httpd_enable_homedirs on）
• 模式切换（排障常用）
  • 查看：getenforce（或 sestatus）
  • 临时：sudo setenforce 0|1（0=Permissive，1=Enforcing）
  • 永久：编辑 /etc/selinux/config 的 SELINUX= 项并重启。

排错与策略定制

• 定位拒绝事件
  • 查看 AVC 拒绝：sudo ausearch -m avc -ts recent
  • 或：sudo journalctl | grep AVC
• 自动生成并加载本地策略模块（仅在明确安全影响后使用）
  • ausearch -c ‘程序名’ --raw | audit2allow -M mypol
  • sudo semodule -i mypol.pp
• 上下文异常或大面积标签错乱时的恢复
  • 触发全系统重标记：sudo touch /.autorelabel & & sudo reboot。

与 AppArmor 的关系与选择

• Ubuntu 默认启用 AppArmor，其以路径名为中心、配置与维护相对简便；SELinux 以类型/标签为中心、控制更细但复杂度更高。若你的目标是“文件访问管控”，在 Ubuntu 上优先评估 AppArmor 是否足够；确需 SELinux 时再按上述步骤启用与管理。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！