Ubuntu默認未啟用SELinux���,若需使用需手動配置���,以下是其安全增強措施及操作要點:
- 安裝SELinux
執行命令:sudo apt install selinux-basics selinux-policy-default�����。
- 啟用SELinux
- 臨時啟用:
sudo selinux-activate�����。
- 永久啟用:編輯
/etc/selinux/config��,將SELINUX=disabled改為SELINUX=enforcing��,重啟生效����。
- 配置安全策略
- 查看當前策略:
cat /etc/selinux/config�����。
- 自定義策略:使用
semanage工具管理上下文(如文件��、端口)�,例如:
sudo semanage fcontext -a -t httpd_sys_content_t "/path/to/file"����。
恢復上下文:sudo restorecon -v /path/to/file��。
- 監控與日志分析
- 查看日志:
sudo ausearch -m avc -ts recent��。
- 生成策略模塊:
sudo ausearch -m avc -ts recent | audit2allow -M mypol���。
- 注意事項
- 可能存在與AppArmor的兼容性問題��,需測試應用適配性����。
- 服務器場景建議使用
enforcing模式��,開發環境可臨時用permissive模式調試��。
提示:SELinux配置復雜����,建議優先使用Ubuntu默認的AppArmor��,如需啟用SELinux需充分測試以避免影響系統穩定性���。
