在Ubuntu中使用SELinux標簽需先啟用SELinux�,再通過命令管理標簽�,核心操作如下:
1. 啟用SELinux
2. 查看標簽
3. 修改標簽
-
臨時修改文件標簽:
sudo chcon -t 新類型_t /path/to/file
例如:將文件標記為Web服務器可訪問類型:
sudo chcon -t httpd_sys_content_t /var/www/html/index.html
-
永久修改文件標簽:
sudo semanage fcontext -a -t 新類型_t /path/to/file
sudo restorecon -Rv /path/to/file
(semanage修改策略規則�����,restorecon應用規則)
4. 標簽類型說明
- 核心標簽組件:
- 用戶(User):如
unconfined_u(未受限用戶)����、system_u(系統用戶)�����。
- 角色(Role):如
object_r(普通對象角色)�、system_r(系統角色)����。
- 類型(Type):定義訪問權限的核心標簽��,如
httpd_sys_content_t(Web內容)�、tmp_t(臨時文件)�。
- 級別(Level):多級安全場景使用��,如
s0(默認級別)����。
5. 注意事項
- 與AppArmor沖突:Ubuntu默認使用AppArmor��,啟用SELinux前需卸載AppArmor:
sudo apt purge apparmor
- 策略選擇:默認使用
targeted策略(針對常見服務)�����,如需更細粒度控制可配置mls策略(需手動定義安全級別)��。
- 調試工具:若標簽配置錯誤導致訪問被拒��,可通過
/var/log/audit/audit.log查看拒絕日志�,并用audit2allow生成修復策略�����。
以上操作需在已啟用SELinux的系統上進行���,生產環境建議優先使用默認策略����,謹慎修改核心標簽����。
