SELinux在Ubuntu中的最佳实践

ubuntu

小樊

2025-08-17 15:47:10

栏目: 智能运维

以下是SELinux在Ubuntu中的最佳实践：

安装与激活
- 安装基础包：sudo apt install selinux-basics selinux-policy-default auditd setools。
- 激活SELinux：sudo selinux-activate，并重启系统生效。
模式配置
- 初始建议设置为Permissive模式（记录违规但不阻止），测试通过后再切换至Enforcing模式（强制拦截）。
- 编辑/etc/selinux/config文件，设置SELINUX=permissive/enforcing，SELINUXTYPE=default。
策略管理
- 查看状态：sestatus；查看日志：sudo ausearch -m avc。
- 使用semanage管理端口、文件上下文等，如sudo semanage port -a -t http_port_t -p tcp 8080。
- 通过audit2allow生成自定义策略模块，修复拒绝访问问题。
文件上下文管理
- 临时修改文件上下文：sudo chcon -t httpd_sys_content_t /path/to/file。
- 永久修改：sudo semanage fcontext -a -t httpd_sys_content_t "/path/to/file" && sudo restorecon -v /path/to/file。
服务与调试
- 启用服务相关权限：sudo setsebool -P httpd_enable_homedirs on。
- 调试时查看/var/log/audit/audit.log，使用aureport生成报告。
注意事项
- 避免与AppArmor冲突，建议卸载AppArmor（若需使用SELinux）。
- 生产环境启用前，先在测试环境验证策略，避免影响系统稳定性。

参考来源：

最新问答