Ubuntu 默认并不支持 SELinux,而是使用 AppArmor 作为其安全模块。SELinux(Security-Enhanced Linux)是一个内核安全模块,它提供了强制访问控制(MAC)功能,以增强系统的安全性。然而,Ubuntu 官方并未内置 SELinux,而是提供了 AppArmor 作为其默认的安全模块。如果你确实需要在 Ubuntu 上启用 SELinux,你需要安装一个名为 selinux 的软件包,但请注意,这可能会对系统稳定性造成影响,并且 Ubuntu 社区并不推荐在生产环境中使用 SELinux。以下是安装 SELinux 的基本步骤:
sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd dauditd setools setoos-gui selinux-policy-dev
安装完成后,您需要激活 SELinux。这可以通过修改启动参数来实现:
sudo selinux-activate
SELinux 有三种模式:Disabled、Permissive 和 Enforcing。您可以通过修改 /etc/selinux/config 文件来设置 SELinux 的模式:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls - Multi-Level Security (for military and educational use)
# src - Custom policy built from source
SELINUXTYPEdefault
将 SELINUX=permissive 更改为 SELINUX=enforcing 以启用 SELinux 的强制模式,然后保存并关闭文件。重新启动系统以使更改生效:
sudo reboot
系统重启后,您可以使用以下命令来验证 SELinux 是否已启用:
sestatus
或者查看当前的安全上下文:
ls -Z
ps -Z
请注意,SELinux 的配置和管理可能比较复杂,特别是在生产环境中。在启用 SELinux 之前,建议详细阅读相关的文档和指南,以确保你的系统配置正确并且安全。此外,由于 SELinux 可能会对系统性能产生影响,因此在生产环境中使用时需要谨慎评估其利弊。