Ubuntu 默认安装是不包含 SELinux 的,需要手动安装。SELinux(Security-Enhanced Linux)是一个 Linux 内核安全模块,提供支持访问控制安全策略的机制,包括强制访问控制 (MAC)。在 Ubuntu 上配置 SELinux 的步骤如下:
sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd dauditd setools setoos-gui selinux-policy-dev
sudo selinux-activate
激活 SELinux 后,系统会在启动时增加 securityselinux 参数,以确保 SELinux 模块被加载。
SELinux 有三种模式:Disabled(禁用模式)、Permissive(宽容模式)和 Enforcing(强制模式)。默认情况下,SELinux 在重启后会恢复到 Enforcing 模式。
sudo setenforce 0
编辑 /etc/selinux/config 文件,找到 SELINUXenforcing 这一行,将其改为 SELINUXpermissive。保存文件并重启系统。
同样编辑 /etc/selinux/config 文件,将 SELINUXpermissive 改为 SELINUXenforcing。保存文件并重启系统。
SELinux 策略可以通过 semanage 工具进行管理。例如,添加一个新的文件上下文:
sudo semanage fcontext -a -t httpd_sys_content_t "/path/to/your/file"
sudo restorecon -v "/path/to/your/file"
这会将指定文件的上下文设置为 httpd_sys_content_t,并恢复其 SELinux 上下文。
查看当前 SELinux 模式:
getenforce
更改 SELinux 模式:
编辑 /etc/selinux/config 文件,更改 SELINUX 变量的值。例如,将模式设置为 Permissive:
SELINUXpermissive
更改后,需要重新启动系统以使更改生效:
sudo reboot
以上步骤概述了在 Ubuntu 上部署和配置 SELinux 的基本流程。请注意,SELinux 的配置和管理可能因发行版和具体需求而有所不同,建议参考官方文档以获取更详细的信息。