SELinux在Ubuntu中的最佳实践

以下是SELinux在Ubuntu中的最佳实践：

1. 安装与激活

   • 安装基础包：sudo apt install selinux-basics selinux-policy-default auditd setools。
   • 激活SELinux：sudo selinux-activate，并重启系统生效。

2. 模式配置

   • 初始建议设置为Permissive模式（记录违规但不阻止），测试通过后再切换至Enforcing模式（强制拦截）。
   • 编辑/etc/selinux/config文件，设置SELINUX=permissive/enforcing，SELINUXTYPE=default。

3. 策略管理

   • 查看状态：sestatus；查看日志：sudo ausearch -m avc。
   • 使用semanage管理端口、文件上下文等，如sudo semanage port -a -t http_port_t -p tcp 8080。
   • 通过audit2allow生成自定义策略模块，修复拒绝访问问题。

4. 文件上下文管理

   • 临时修改文件上下文：sudo chcon -t httpd_sys_content_t /path/to/file。
   • 永久修改：sudo semanage fcontext -a -t httpd_sys_content_t "/path/to/file" && sudo restorecon -v /path/to/file。

5. 服务与调试

   • 启用服务相关权限：sudo setsebool -P httpd_enable_homedirs on。
   • 调试时查看/var/log/audit/audit.log，使用aureport生成报告。

6. 注意事项

   • 避免与AppArmor冲突，建议卸载AppArmor（若需使用SELinux）。
   • 生产环境启用前，先在测试环境验证策略，避免影响系统稳定性。

参考来源：