Ubuntu默认安全模块与SELinux的互斥性
Ubuntu系统默认采用AppArmor作为内核级安全模块,通过路径名匹配限制进程对资源的访问;而SELinux(Security-Enhanced Linux)是基于**强制访问控制(MAC)**的框架,通过类型强制(Type Enforcement)、角色基础访问控制(RBAC)实现更细粒度的权限管理。两者设计理念冲突,无法同时在Ubuntu上启用——启用SELinux后,AppArmor将自动失效,反之亦然。
SELinux与Ubuntu系统的基础集成步骤
若需在Ubuntu上使用SELinux替代AppArmor,需完成以下关键步骤:
sudo apt update && sudo apt install selinux-basics selinux-policy-default auditd命令安装SELinux基础工具、策略及审计工具。sudo selinux-activate修改系统启动参数,添加security=selinux以加载SELinux模块。/etc/selinux/config文件,将SELINUX=设置为enforcing(强制模式,推荐生产环境)或permissive(宽容模式,仅记录日志不阻止操作);修改后需重启系统使配置生效。sestatus命令确认SELinux已启用(显示SELinux status: enabled)及当前模式(如Current mode: enforcing)。SELinux与Ubuntu系统工具的集成
auditd记录安全事件(如访问拒绝)。通过sudo apt install auditd安装后,可使用ausearch(查看审计日志)、aureport(生成统计报告)工具分析SELinux拒绝事件,辅助策略优化。.te(Type Enforcement)文件定义类型、类及权限规则(如允许httpd_t进程读取httpd_sys_content_t类型的文件),再使用checkmodule编译为.mod文件,semodule_package打包为.pp文件,最后通过semodule -i加载。例如,允许Apache访问用户主目录的策略模块需定义httpd_enable_homedirs布尔值(setsebool -P httpd_enable_homedirs 1)。SELinux与容器技术的集成
在Ubuntu上,SELinux可与Docker等容器技术配合,通过安全上下文限制容器内进程的权限:
--security-opt标志指定SELinux标签(如--security-opt label=type:container_file_t),将容器文件系统映射为特定SELinux类型,防止容器逃逸后访问主机敏感文件。securityContext设置seLinuxOptions(如type: "container_app_t"),并为Pod添加container.seccomp.security.alpha.kubernetes.io注解,关联SELinux策略。例如:securityContext:
seLinuxOptions:
type: "python_app_t"
level: "s0:c123,c456"
SELinux与Ubuntu系统日志的集成
SELinux的拒绝事件会记录到/var/log/audit/audit.log(审计日志)中。通过grep avc /var/log/audit/audit.log筛选AVC(Access Vector Cache)拒绝日志,使用audit2why分析拒绝原因(如“缺少权限”),再用audit2allow生成自定义策略模块(如audit2allow -M mypol < audit.log),解决应用兼容性问题。
注意事项
sudo systemctl stop apparmor && sudo systemctl disable apparmor)。