Ubuntu开启SELinux的详细步骤
SELinux并非Ubuntu默认组件,需先通过APT包管理器安装核心组件及依赖。打开终端,依次执行以下命令更新软件包列表并安装:
sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd selinux-utils
selinux-basics:提供SELinux基础服务;selinux-policy-default:默认安全策略;auditd:审计守护进程(记录SELinux拒绝事件);selinux-utils:包含sestatus等实用工具。安装完成后,通过selinux-activate命令激活SELinux,系统会在下次启动时加载SELinux模块:
sudo selinux-activate
该命令会自动配置GRUB引导参数(添加security=selinux),确保SELinux内核模块被加载。
SELinux有三种运行模式,需通过修改配置文件设置默认模式:
sudo nano /etc/selinux/config
SELINUX=行,将disabled改为enforcing(强制模式,阻止违规操作)或permissive(宽容模式,仅记录违规日志,不阻止)。例如:SELINUX=enforcing # 强制模式(推荐生产环境使用)
# SELINUX=permissive # 宽容模式(测试环境使用)
Ctrl+O保存,Ctrl+X退出编辑器。修改配置后,必须重启系统以加载SELinux模块并应用模式设置:
sudo reboot
系统重启后,通过以下命令确认SELinux是否启用及当前模式:
sestatus
正常输出应包含以下关键信息(以强制模式为例):
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing # 当前模式为强制
Mode from config file: enforcing # 配置文件中设置的默认模式
也可通过getenforce命令快速查看当前模式(输出Enforcing表示强制模式)。
enforcing)会严格拦截违规操作,适合对安全性要求高的场景;宽容模式(permissive)仅记录日志,适合调试阶段。semanage(sudo apt install policycoreutils-python-utils)或audit2allow工具生成自定义规则。