SELinux如何保护Ubuntu系统文件

SELinux通过强制访问控制（MAC）保护Ubuntu系统文件，核心机制如下：

1. 安全上下文标记：为文件、进程等对象分配包含用户、角色、类型等属性的安全标签，如ls -Z可查看文件上下文。
2. 策略规则控制：通过预定义策略（如targeted）限制进程对文件的访问权限，仅允许符合策略的操作，例如禁止非授权进程修改系统配置文件。
3. 模式强制执行：
   • Enforcing模式：直接阻止违反策略的访问并记录日志。
   • Permissive模式：仅记录违规行为，不阻止访问，便于调试。
4. 审计与日志监控：记录所有访问尝试，通过/var/log/audit/audit.log分析异常行为，辅助定位安全事件。
5. 动态策略调整：使用semanage工具修改文件上下文或策略，如semanage fcontext -a -t httpd_sys_content_t "/path/to/file"设置特定文件类型。

注意：Ubuntu默认使用AppArmor，启用SELinux需手动安装配置，且部分应用可能需适配。