Ubuntu 默认并未启用 SELinux,而是使用 AppArmor 作为其默认的安全增强工具。如果您确实需要在 Ubuntu 上启用 SELinux 并更新其策略,可以按照以下步骤进行:
sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd audispd-plugins
编辑 /etc/selinux/config 文件,将 SELINUX=disabled 更改为 SELINUX=enforcing,然后保存并退出。
sudo nano /etc/selinux/config
重启系统以使更改生效。
sudo reboot
semanage 管理端口标签:例如,允许 HTTP 流量通过 TCP 端口 8080。sudo semanage port -a -t http_port_t -p tcp 8080
audit2allow 从日志中提取信息并创建自定义策略模块:grep avc /var/log/audit/audit.log
audit2allow -M mypol
sudo semodule -i mypol.pp
自定义 SELinux 策略:
mkdir /selinux-custom-policy
cd /selinux-custom-policy
touch custom_policy.te
使用文本编辑器打开 custom_policy.te 文件,并根据需求添加规则。
编译并安装自定义策略:
make -f /usr/share/selinux/devel/Makefile
sudo semodule -i custom_policy.pp
sudo restorecon -Rv /path/to/your/directory
请注意,SELinux 配置可能会比较复杂,特别是对于初学者来说。在更改策略之前,建议详细阅读 SELinux 的官方文档,并在生产环境中应用更改之前在测试环境中进行充分的测试。
