Ubuntu如何安装SELinux

Ubuntu 安装与启用 SELinux 指南

前置说明

• Ubuntu 默认使用 AppArmor 作为强制访问控制（MAC）框架，SELinux 并非默认启用。在 Ubuntu 上启用 SELinux 属于可选方案，功能可用但社区与生态支持相对有限；若追求开箱即用的 SELinux 体验，可考虑 RHEL/CentOS/Fedora 等发行版。以下步骤面向需要在 Ubuntu 上启用 SELinux 的场景。

安装与启用步骤

1. 安装必要软件包
   更新索引并安装基础工具、策略包与审计组件：
   sudo apt update
   sudo apt install selinux-basics selinux-policy-default selinux-utils auditd
   说明：selinux-basics 提供激活脚本，selinux-policy-default 提供默认策略，auditd 负责审计日志，便于排错与策略调优。

2. 激活 SELinux
   执行激活脚本，配置内核启动参数以加载 SELinux：
   sudo selinux-activate
   该操作会确保系统启动时加入 security=selinux 等参数，使 SELinux 模块在引导阶段可用。

3. 配置 SELinux 模式
   编辑配置文件 /etc/selinux/config，设置模式（建议先宽容后强制）：
   sudo nano /etc/selinux/config
   示例：
   SELINUX=permissive
   SELINUXTYPE=default
   说明：

   • Disabled：不加载策略；
   • Permissive：仅告警不阻断，便于初期排错；
   • Enforcing：强制实施策略。
     保存后重启：sudo reboot。

4. 验证运行状态
   重启后检查：
   sestatus
   getenforce
   期望输出示例：

   • Current mode: permissive（或 enforcing）
   • Loaded policy name: default
     若提示命令不存在，请确认已安装 selinux-utils。

常用管理与排错

• 切换运行模式（无需重启）：
  sudo setenforce 1（Enforcing）/ 0（Permissive）；永久生效仍需修改 /etc/selinux/config 并重启。
• 查看与修复标签：
  • 查看安全上下文：ls -Z、ps -Z
  • 日志与策略生成：ausearch -m avc -ts recent、audit2allow（结合日志生成自定义模块）
• 策略与布尔值管理：
  • 查看/设置布尔：getsebool、setsebool -P（如 setsebool -P httpd_enable_homedirs 1）
  • 模块管理：semodule -i/-r（加载/卸载自定义策略模块）
    提示：在 Permissive 模式下观察 /var/log/audit/audit.log，确认无大量拒绝后再切到 Enforcing。

注意事项

• 初次上线建议全程先在 Permissive 模式完成标签校正与策略调优，再切换 Enforcing，避免业务中断。
• 若系统曾启用 AppArmor，启用 SELinux 后建议保持其一处于关闭或被动状态，避免策略冲突；变更前做好配置与数据备份。
• 某些应用或服务可能缺少完善的 SELinux 策略，需要结合审计日志编写或调整策略模块，生产环境务必充分测试。