SELinux通過強制訪問控制(MAC)保護Ubuntu系統文件�,核心機制如下:
- 安全上下文標記:為文件��、進程等對象分配包含用戶�、角色�����、類型等屬性的安全標簽����,如
ls -Z可查看文件上下文�。
- 策略規則控制:通過預定義策略(如
targeted)限制進程對文件的訪問權限����,僅允許符合策略的操作���,例如禁止非授權進程修改系統配置文件����。
- 模式強制執行:
- Enforcing模式:直接阻止違反策略的訪問并記錄日志�。
- Permissive模式:僅記錄違規行為��,不阻止訪問���,便于調試�。
- 審計與日志監控:記錄所有訪問嘗試��,通過
/var/log/audit/audit.log分析異常行為�����,輔助定位安全事件����。
- 動態策略調整:使用
semanage工具修改文件上下文或策略���,如semanage fcontext -a -t httpd_sys_content_t "/path/to/file"設置特定文件類型�。
注意:Ubuntu默認使用AppArmor���,啟用SELinux需手動安裝配置�����,且部分應用可能需適配�。
