1. 安装SELinux基础组件
Ubuntu默认未启用SELinux,需先安装核心包及审计工具:
sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd
安装完成后,通过selinux-activate命令激活SELinux。
2. 启用SELinux并设置强制模式
setenforce 1将SELinux切换至Enforcing模式(立即生效,重启失效);/etc/selinux/config文件,修改SELINUX=enforcing(需重启系统使设置生效)。3. 管理网络端口与协议映射
SELinux通过网络端口类型(Port Label)控制协议访问,常用命令如下:
sudo semanage port -l(显示所有端口与对应SELinux类型的映射,如http_port_t对应80/tcp、443/tcp);sudo semanage port -a -t http_port_t -p tcp 8080(将8080/tcp端口关联至http_port_t类型,允许HTTP服务使用);sudo semanage port -d -t http_port_t -p tcp 8080(移除端口映射);sudo semanage port -m -t https_port_t -p tcp 8443(将8443/tcp端口从http_port_t改为https_port_t,适配HTTPS协议)。4. 配置SELinux布尔值优化协议访问
SELinux布尔值(Boolean)用于快速开关特定协议的权限,例如:
sudo setsebool -P httpd_can_network_connect 1;sudo setsebool -P samba_enable_home_dirs 1(允许访问用户家目录)、sudo setsebool -P samba_export_all_rw 1(允许读写共享目录)。5. 自定义策略模块支持特殊协议
若默认策略无法满足特殊协议(如FTP、自定义TCP服务)需求,可通过以下步骤生成并加载自定义策略:
sudo ausearch -m avc -ts recent查看SELinux拒绝事件(记录被拦截的操作详情);audit2allow工具将拒绝日志转换为策略代码,例如sudo ausearch -m avc -ts recent | audit2allow -M my_custom_protocol(生成my_custom_protocol.te文件);sudo semodule -i my_custom_protocol.pp(将编译后的策略模块加载至SELinux,生效新规则)。6. 验证SELinux网络策略有效性
sudo getenforce(确认当前模式为Enforcing,表示策略强制执行);sudo systemctl start apache2),通过客户端访问对应端口(如curl http://localhost:8080),若服务正常响应则说明策略生效;sudo ausearch -c '服务名' --raw | audit2why分析拒绝原因(如缺少端口权限、布尔值未开启),针对性调整策略。
