SELinux(Security-Enhanced Linux)是一个强大的安全模块,用于提供强制访问控制(MAC)。然而,Ubuntu 默认并不启用 SELinux,而是使用 AppArmor 作为其安全模块。尽管如此,如果你在 Ubuntu 上决定启用 SELinux,以下是一些最佳实践:
要在 Ubuntu 上安装 SELinux,请执行以下命令:
sudo apt update
sudo apt install selinux-basics selinux-policy-default
安装完成后,你需要激活 SELinux:
sudo selinux-activate
这会添加启动参数 security=selinux 到内核启动参数中。
SELinux 的配置文件位于 /etc/selinux/config。你可以编辑此文件来设置 SELinux 的模式(enforcing、permissive 或 disabled)和类型(default 或 mls)。例如,要将 SELinux 设置为 enforcing 模式,请将以下行添加到配置文件中:
SELINUX=enforcing
SELINUXTYPE=default
使用 semanage、setsebool 和 sestatus 等工具来管理 SELinux 策略。例如,要允许 Apache Web 服务器访问用户主目录中的文件,可以运行以下命令:
sudo setsebool -P httpd_enable_homedirs 1
要检查 SELinux 的当前状态,可以使用以下命令:
getenforce
要查看详细的 SELinux 日志,可以查看 /var/log/audit/audit.log 文件。
请注意,SELinux 在 Ubuntu 上的支持有限,并非所有功能都可用。在某些情况下,你可能需要考虑使用其他发行版,如 CentOS 或 RHEL,以获得更好的 SELinux 支持。