SELinux(Security-Enhanced Linux)是一個強大的安全模塊�����,用于提供強制訪問控制(MAC)�。然而���,Ubuntu 默認并不啟用 SELinux���,而是使用 AppArmor 作為其安全模塊���。盡管如此�����,如果你在 Ubuntu 上決定啟用 SELinux�,以下是一些最佳實踐:
安裝 SELinux
要在 Ubuntu 上安裝 SELinux�����,請執行以下命令:
sudo apt update
sudo apt install selinux-basics selinux-policy-default
啟用 SELinux
安裝完成后�����,你需要激活 SELinux:
sudo selinux-activate
這會添加啟動參數 security=selinux 到內核啟動參數中���。
配置 SELinux
SELinux 的配置文件位于 /etc/selinux/config�����。你可以編輯此文件來設置 SELinux 的模式(enforcing����、permissive 或 disabled)和類型(default 或 mls)�����。例如�,要將 SELinux 設置為 enforcing 模式��,請將以下行添加到配置文件中:
SELINUX=enforcing
SELINUXTYPE=default
管理 SELinux 策略
使用 semanage���、setsebool 和 sestatus 等工具來管理 SELinux 策略�����。例如�,要允許 Apache Web 服務器訪問用戶主目錄中的文件����,可以運行以下命令:
sudo setsebool -P httpd_enable_homedirs 1
查看 SELinux 狀態
要檢查 SELinux 的當前狀態�,可以使用以下命令:
getenforce
要查看詳細的 SELinux 日志�,可以查看 /var/log/audit/audit.log 文件�����。
請注意�����,SELinux 在 Ubuntu 上的支持有限�,并非所有功能都可用�����。在某些情況下�,你可能需要考慮使用其他發行版���,如 CentOS 或 RHEL�����,以獲得更好的 SELinux 支持�����。
