Ubuntu 默認并未啟用 SELinux�,而是使用 AppArmor 作為其默認的安全增強工具�。如果您確實需要在 Ubuntu 上啟用 SELinux 并更新其策略�����,可以按照以下步驟進行:
安裝 SELinux 相關包
sudo apt update
sudo apt install selinux-basics selinux-policy-default auditd audispd-plugins
啟用 SELinux
編輯 /etc/selinux/config 文件���,將 SELINUX=disabled 更改為 SELINUX=enforcing��,然后保存并退出�����。
sudo nano /etc/selinux/config
重啟系統以使更改生效�����。
sudo reboot
更新 SELinux 策略
- 使用
semanage 管理端口標簽:例如����,允許 HTTP 流量通過 TCP 端口 8080�。
sudo semanage port -a -t http_port_t -p tcp 8080
- 使用
audit2allow 從日志中提取信息并創建自定義策略模塊:
grep avc /var/log/audit/audit.log
audit2allow -M mypol
sudo semodule -i mypol.pp
-
自定義 SELinux 策略:
- 創建一個新的策略文件:
mkdir /selinux-custom-policy
cd /selinux-custom-policy
touch custom_policy.te
-
使用文本編輯器打開 custom_policy.te 文件�,并根據需求添加規則����。
-
編譯并安裝自定義策略:
make -f /usr/share/selinux/devel/Makefile
sudo semodule -i custom_policy.pp
- 應用自定義策略:
sudo restorecon -Rv /path/to/your/directory
請注意���,SELinux 配置可能會比較復雜��,特別是對于初學者來說�。在更改策略之前���,建議詳細閱讀 SELinux 的官方文檔�����,并在生產環境中應用更改之前在測試環境中進行充分的測試��。
