Ubuntu SELinux如何测试

在Ubuntu上测试SELinux（Security-Enhanced Linux）涉及多个步骤，包括启用SELinux、设置模式、检查状态以及执行特定的策略测试。以下是详细的测试流程：

启用SELinux

1. 安装SELinux相关包：

sudo apt install selinux-basics
sudo apt install auditd
sudo apt install setools
sudo apt install selinux-policy-dev

2. 激活SELinux：

sudo selinux-activate

这将增加启动参数 security=selinux，使得SELinux在系统启动时生效。

3. 设置SELinux模式： SELinux有三种模式：

• Disabled：SELinux处于禁止状态。
• Permissive：SELinux仅记录日志，不会拒绝访问。
• Enforcing：SELinux拒绝访问并记录日志。

编辑 /etc/selinux/config 文件来设置模式：

SELINUX=permissive
SELINUXTYPE=default

保存并退出编辑器，然后重启系统以使更改生效。

检查SELinux状态

使用以下命令检查SELinux的当前状态：

sestatus

如果输出显示 SELinux status: enabled，则表示SELinux已启用。

测试SELinux策略

1. 创建测试文件：

echo "Hello, SELinux!" > testfile.txt

2. 设置文件的安全上下文：

ls -Z testfile.txt

这将显示文件的SELinux安全上下文。

3. 尝试修改文件内容： 尝试使用 echo 命令修改文件内容：

echo "Hello, World!" > testfile.txt

如果SELinux处于Enforcing模式，此操作将会被拒绝，并记录在日志中。

4. 临时禁用SELinux进行测试： 如果你需要临时禁用SELinux进行测试，可以使用以下命令：

sudo setenforce 0

禁用后，再次尝试修改文件内容，这次应该可以成功。

5. 重新启用SELinux： 完成测试后，可以重新启用SELinux：

sudo setenforce 1

注意事项

• 在进行任何可能影响系统稳定性的操作之前，建议备份重要数据。
• 关闭SELinux可能会降低系统的安全性，因此请确保在关闭之前有合适的安全措施。

通过以上步骤，你可以在Ubuntu上测试SELinux的功能和策略。