Ubuntu SELinux权限管理策略

Ubuntu默认使用AppArmor，SELinux支持有限，需手动安装配置。以下是其权限管理策略要点：

1. 安装与启用

   • 安装基础包：sudo apt install selinux-basics selinux-policy-default。
   • 激活SELinux：sudo selinux-activate，并重启系统。

2. 模式配置

   • 强制模式（Enforcing）：严格限制未授权访问，生产环境推荐。
   • 宽容模式（Permissive）：仅记录违规，不阻止操作，用于调试。
   • 通过编辑/etc/selinux/config设置模式，需重启生效。

3. 策略管理工具

   • semanage：管理文件上下文、端口等，如sudo semanage fcontext -a -t httpd_sys_content_t "/var/www(/.*)?"。
   • restorecon：应用策略更改，sudo restorecon -Rv /path。
   • audit2allow：根据日志生成自定义策略模块，sudo audit2allow -M mypolicy < /var/log/audit/audit.log。

4. 自定义策略

   • 创建策略文件（如my_policy.te），定义类型、权限规则，例如：

     policy_module(my_policy, 1.0)  
     type my_app_t;  
     allow my_app_t httpd_sys_rw_content_t:dir { read write };  
     

   • 编译安装：make -f /usr/share/selinux/devel/Makefile && sudo semodule -i my_policy.pp。

5. 日志与监控

   • 查看拒绝日志：sudo ausearch -m avc -ts recent。
   • 分析策略影响：sudo audit2why。

注意：SELinux配置复杂，可能影响系统兼容性，建议在测试环境验证后再应用于生产。部分功能（如用户角色管理）在Ubuntu中支持有限，可优先使用AppArmor或参考官方文档调整。