SELinux(Security-Enhanced Linux)是一个强大的安全模块,用于提供强制访问控制(MAC)。然而,Ubuntu 默认并不启用 SELinux,而是使用 AppArmor 作为其安全模块。尽管如此,如果你在 Ubuntu 上决定启用 SELinux,以下是一些最佳实践:
要在 Ubuntu 上安装 SELinux,请执行以下命令:
sudo apt install selinux-basics
sudo apt install selinux-policy-dev
sudo apt install setools
安装完成后,你需要激活 SELinux:
sudo selinux-activate
这会添加启动参数 security=selinux 到内核启动参数中。
SELinux 的配置文件位于 /etc/selinux/config。你可以编辑此文件来设置 SELinux 的模式(enforcing、permissive 或 disabled)和类型(default 或 mls)。例如,要将 SELinux 设置为 enforcing 模式,请将以下行添加到配置文件中:
SELINUX=enforcing
SELINUXTYPE=default
使用 semanage、setsebool 和 sestatus 等工具来管理 SELinux 策略。例如,要启用 FTP 服务,可以运行:
sudo setsebool -P ftp_home_dir on
sudo setsebool -P ftpd_anon_write on
要检查 SELinux 的当前状态,可以使用以下命令:
getenforce
要查看详细的 SELinux 日志,可以查看 /var/log/audit/audit.log 文件。
请注意,SELinux 的配置和管理可能对系统性能有一定影响,并且配置过程可能相对复杂。因此,在实施 SELinux 之前,请确保你充分了解其工作原理,并在生产环境中进行充分的测试。