Ubuntu SELinux最佳实践分享

在Ubuntu上启用SELinux是一个复杂但至关重要的过程，以下是详细的步骤和最佳实践：

安装SELinux相关包

sudo apt install selinux-basics
sudo apt install auditd
sudo apt install setools setoos-gui
sudo apt install selinux-policy-dev

激活SELinux

sudo selinux-activate

设置SELinux模式

SELinux有三种模式：

• Disabled：SELinux处于禁止未启用的状态。
• Permissive：SELinux对于白名单之外的所有访问只是记录日志，并不会真正的拒绝。
• Enforcing：SELinux对于白名单之外的所有访问全部拒绝并记录日志。

建议初始设置为Permissive模式，以便进行调试和测试，而不要设置为Enforcing模式，以免影响系统的基本操作。

配置SELinux

• 查看当前SELinux状态：

sestatus

• 查看文件的安全上下文：

ls -Z

• 修改文件的安全上下文（临时）：

chcon -t public_content_t /path/to/file

• 修改文件的安全上下文（永久）：

mkdir /new/directory
manage fcontext -a -t public_content_t '/new/directory(/.*)?'
restorecon -RvvF /new/directory

• 配置SELinux策略：使用semanage和setsebool等工具来管理SELinux策略。

注意事项

• 在启用SELinux之前，建议创建系统快照，以防万一出现问题。
• 避免在Ubuntu上使用AppArmor，因为它与SELinux不兼容。
• 在生产环境中，建议使用Enforcing模式，并定期审查和更新SELinux策略，以确保系统的安全性。

通过遵循上述步骤和最佳实践，可以在Ubuntu系统上有效地配置和管理SELinux，从而提高系统的安全性。