Ubuntu 与 SELinux 的兼容性概览
Ubuntu 默认启用的是 AppArmor,并非 SELinux。在 Ubuntu 上启用 SELinux 属于“可选且非主流”的做法,社区与文档普遍提示其支持有限、策略与工具链不如 RHEL/CentOS 完备,部署与维护复杂度更高,因此一般建议优先使用 AppArmor,只有在确有合规或策略需求时再考虑 SELinux。
能否与 AppArmor 共存
两者同为内核 MAC 安全模块,设计目标与策略语言不同,通常不建议同时启用。实践中常见的做法是:启用 SELinux 时停止并移除 AppArmor,以避免策略冲突与不可预期行为。
在 Ubuntu 上启用 SELinux 的要点
- 安装组件:sudo apt install selinux-basics selinux-policy-default auditd setools
- 激活 SELinux:sudo selinux-activate(会在启动参数中加入 security=selinux)
- 设置模式:编辑 /etc/selinux/config,将 SELINUX= 设为 permissive(先宽容、观察日志)或 enforcing(强制);必要时设置 SELINUXTYPE=default
- 使配置生效:重启系统(某些场景需确保内核启动参数已包含 security=selinux)
- 常用检查与切换:sestatus、getenforce;临时切换可用 sudo setenforce 0|1
上述步骤在不同版本与桌面/服务器环境中细节可能略有差异,建议先在测试环境验证。
兼容性与运维注意事项
- 功能与生态:在 Ubuntu 上 SELinux 的功能覆盖与工具链支持有限,遇到复杂服务(如容器、虚拟化、特定守护进程)时可能需要更多手工策略调优。
- 策略维护:常见操作包括使用 semanage(如端口标签:semanage port -a -t http_port_t -p tcp 8080)、audit2allow(将 AVC 拒绝日志生成可加载模块)、以及查看安全上下文(ls -Z、ps -Z)。
- 故障排查:优先以 permissive 模式收集 AVC 日志(ausearch -m AVC -ts recent),再逐步生成与加载自定义策略模块,避免直接上 enforcing 导致业务中断。
- 性能影响:启用 SELinux 会带来一定的 CPU/内存/IO 开销,通常可接受,但应在上线前做基线压测与容量评估。
- 选型建议:若主要诉求是开箱即用的 MAC 能力与更完善的 SELinux 生态,优先考虑 RHEL/CentOS;若必须在 Ubuntu 使用 SELinux,务必预留充足的策略开发与回归测试时间。
