Ubuntu SELinux如何学习与实践

1. 准备工作：安装SELinux及相关工具
Ubuntu默认使用AppArmor作为安全模块，并未启用SELinux，因此需先安装SELinux核心组件及管理工具。通过以下命令完成安装：

sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd setools

安装完成后，需激活SELinux：

sudo selinux-activate

激活后重启系统，使SELinux服务启动。

2. 查看SELinux状态：确认启用与模式
使用sestatus命令可快速查看SELinux的运行状态，包括是否启用、当前模式（Enforcing/Permissive/Disabled）、加载的策略名称等。例如：

sestatus

输出示例：

SELinux status:                 enabled
SELinuxfs mount:                /sys/kernel/security
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive

若需临时切换模式（如从Permissive转为Enforcing），可使用：

sudo setenforce 1  # 切换为Enforcing模式
sudo setenforce 0  # 切换为Permissive模式

永久修改模式需编辑/etc/selinux/config文件，调整SELINUX=参数（如SELINUX=enforcing），保存后重启系统生效。

3. 掌握核心概念：理解SELinux的工作逻辑
学习SELinux前需明确三个关键概念：

• 主体（Subject）：发起操作的进程（如httpd、ssh）；
• 对象（Object）：被访问的资源（如文件、目录、端口、设备）；
• 策略（Policy）：定义主体对对象的访问规则（如“httpd进程只能读取/var/www/html目录下的文件”）。
  SELinux通过**安全上下文（Security Context）**标识资源和进程的身份，格式为用户:角色:类型:级别（如unconfined_u:unconfined_r:unconfined_t:s0）。其中，**类型（Type）**是强制访问控制（MAC）的核心，策略通过类型限制主体对对象的访问。

4. 基础配置：管理安全上下文与布尔值

• 查看安全上下文：
  • 查看文件/目录的上下文：ls -Z（如/var/www/html/index.html的上下文）；
  • 查看进程的上下文：ps -eZ（如httpd进程的上下文）。
• 修改安全上下文：
  • 临时修改（重启后失效）：chcon -t httpd_sys_content_t /path/to/file（将文件类型改为httpd_sys_content_t，允许httpd访问）；
  • 永久修改：

    sudo semanage fcontext -a -t httpd_sys_content_t "/path/to/dir(/.*)?"  # 添加策略规则
    sudo restorecon -Rv /path/to/dir  # 递归恢复目录及子项的上下文
    

• 管理布尔值：布尔值是策略中的开关选项，可动态调整（无需重新加载策略）。例如，允许httpd访问用户主目录：

  sudo setsebool -P httpd_enable_homedirs 1  # -P表示永久生效
  

  查看所有布尔值：getsebool -a。

5. 日志分析与故障排除：解决访问拒绝问题
当进程被SELinux阻止时，需通过日志定位问题：

• 查看最近的AVC（访问控制）拒绝日志：

  sudo ausearch -m avc -ts recent
  

• 解析日志生成策略建议：

  sudo ausearch -m avc -ts recent | audit2why
  

  输出会提示拒绝的原因（如“缺少httpd_sys_content_t类型”）及解决方法（如“使用semanage fcontext添加上下文”）。
• 根据建议生成并加载自定义策略：

  sudo ausearch -m avc -ts recent | audit2allow -M my_policy  # 生成策略模块（.te和.pp文件）
  sudo semodule -i my_policy.pp  # 加载策略模块
  

  加载后，SELinux会根据新策略允许相应操作。

6. 自定义策略：创建与部署模块
若默认策略无法满足需求（如限制某进程仅能访问特定文件），需创建自定义策略：

• 安装开发工具：sudo apt install selinux-policy-dev；
• 创建策略目录与文件（如myapp.te）：

  mkdir ~/selinux-custom
  cd ~/selinux-custom
  nano myapp.te
  

• 编写策略内容（示例：允许myapp_t类型的进程读取var_log_t类型的文件）：

  module myapp 1.0;
  
  require {
      type myapp_t;
      type var_log_t;
      class file { read };
  }
  
  # Allow myapp process to read var_log files
  allow myapp_t var_log_t:file read;
  

• 编译并加载策略：

  make -f /usr/share/selinux/devel/Makefile  # 生成.pp文件
  sudo semodule -i myapp.pp  # 加载策略
  

• 标记进程或文件：若进程需使用自定义类型，需修改其启动脚本或在服务文件中添加：

  ExecStartPost=/usr/sbin/semanage fcontext -a -t myapp_t "/path/to/executable"
  ExecStartPost=/usr/sbin/restorecon -v "/path/to/executable"
  

  重启服务使标记生效。

7. 最佳实践：安全与稳定的配置建议

• 初始模式选择：首次启用SELinux时，建议设置为Permissive模式（仅记录拒绝日志，不阻止操作），待调试完成后再切换至Enforcing模式，避免因策略错误导致系统无法使用。
• 备份与恢复：修改策略前备份现有配置（如cp /etc/selinux/policy/ policy.bak），若出现问题可通过备份恢复。
• 定期审查日志：通过ausearch和aureport工具定期分析SELinux日志，及时发现并解决潜在的安全问题。
• 避免禁用SELinux：禁用SELinux会失去强制访问控制的保护，仅在极端情况下（如策略无法修复且影响业务）临时禁用（修改/etc/selinux/config中的SELINUX=disabled并重启），不建议长期禁用。