SELinux在Ubuntu中如何迁移

SELinux在Ubuntu中的迁移指南

一、迁移目标与前置判断

• 明确目标：将系统从当前状态平滑切换到SELinux enforcing，或在新机器上完成从零启用与策略调优。Ubuntu 默认不启用 SELinux，迁移前务必评估对现有服务的影响（如 SSH、数据库、Web、容器等）。
• 基线检查：
  • 查看状态：sestatus、getenforce
  • 查看策略与模式：cat /etc/selinux/config
  • 查看拒绝日志：sudo ausearch -m avc -ts recent、sudo aureport -m avc
  • 如从 AppArmor 切换到 SELinux，先梳理现有 AppArmor 配置与自定义策略，避免冲突。

二、启用或迁移步骤

• 安装组件（最小化）：
  • sudo apt-get update
  • sudo apt-get install selinux-basics selinux-policy-default auditd audispd-plugins
  • 安装完成后建议重启一次，确保内核与用户态组件就绪。
• 配置为宽容模式并首次启用：
  • 编辑：sudo nano /etc/selinux/config，设置 SELINUX=permissive（宽容模式仅告警不阻断，便于排查）。
  • 临时切换：sudo setenforce 0（若已是 permissive 可跳过）。
  • 重启：sudo reboot
• 基线修复与策略调优：
  • 日志分析：sudo ausearch -m avc -ts recent、sudo aureport -m avc，逐项修复被拒绝的访问（文件上下文、端口、布尔值等）。
  • 文件上下文：优先用 semanage fcontext 持久化，再用 restorecon -Rv <path> 应用；临时调整可用 chcon（重启或策略重载后可能回退）。
  • 布尔开关：getsebool -a | grep <服务名> 查看，sudo setsebool -P <bool> on/off 永久生效（-P 为持久化）。
• 切换到强制模式：
  • 确认无关键拒绝后，编辑 /etc/selinux/config 为 SELINUX=enforcing，重启生效：sudo reboot
  • 上线后持续观察：sudo ausearch -m avc -ts recent、sudo aureport -m avc，必要时回退到 permissive 继续排障。

三、迁移后验证与常见问题

• 验证要点：
  • 状态：getenforce（应为 Enforcing）、sestatus（Loaded policy name、Current/Mode from config file 一致）。
  • 服务：SSH、数据库、Web、计划任务、容器等均能正常启动且无明显 AVC 拒绝。
  • 日志：无持续性关键拒绝；如有，按服务逐项修复上下文/布尔/端口策略。
• 常见问题与处理：
  • 服务启动失败且无明显报错：高概率为文件上下文或端口类型不匹配，使用 ausearch 定位 AVC，修复后 restorecon 并重启服务。
  • 已迁移但仍提示被拒绝：检查是否仍有 AppArmor 配置生效（sudo aa-status），必要时卸载或禁用相关 AppArmor 配置后再测。
  • 云环境或镜像默认关闭 SELinux：若与平台策略冲突，遵循平台指引（部分平台文档会要求关闭 SELinux，如将 SELINUX=disabled 并重启），生产环境请评估安全影响后再变更。

四、回滚与应急

• 快速回滚到宽容模式：sudo setenforce 0，并临时将 /etc/selinux/config 设为 SELINUX=permissive，重启后验证业务稳定。
• 彻底关闭（不建议生产）：sudo nano /etc/selinux/config 设置 SELINUX=disabled 并重启；如需重新启用，必须再次重启且按“启用步骤”重做基线修复与策略调优。