ubuntu selinux策略配置技巧

在Ubuntu上配置SELinux策略可以通过以下步骤进行：

安装SELinux及相关工具

首先，确保系统已经安装了SELinux及相关工具。可以通过以下命令安装：

sudo apt-get update
sudo apt-get install selinux-basics selinux-policy-default auditd audispd-plugins

编辑SELinux配置文件

使用文本编辑器打开 /etc/selinux/config 文件，例如使用 nano 编辑器：

sudo nano /etc/selinux/config

在此文件中，找到以下行：

# SELINUX=enforcing
# SELINUXTYPE targeted

取消注释这两行并将 SELINUX 设置为 permissive，如下所示：

SELINUX=permissive
SELINUXTYPE targeted

保存并关闭文件。

创建自定义SELinux策略

1. 创建自定义策略目录和文件：

   mkdir /selinux-custom-policy
   cd /selinux-custom-policy
   touch custom_policy.te
   

2. 编辑策略文件：

   使用文本编辑器打开 custom_policy.te 文件，并根据需求添加相应的规则。例如，允许一个名为 my_script 的可执行文件访问 /var/www/html 目录：

   policy_module(custom_policy, 1.0)
   type my_script_t;
   type my_script_exec_t;
   init_daemon_domain(my_script_t, my_script_exec_t)
   allow my_script_t httpd_sys_rw_content_t:dir { read write };
   

3. 编译并安装自定义策略：

   在终端中，导航到包含 custom_policy.te 文件的目录，然后运行以下命令以编译策略：

   make -f /usr/share/selinux/devel/Makefile
   

   接下来，安装编译好的策略：

   sudo semodule -i custom_policy.pp
   

4. 应用自定义策略：

   最后，将自定义策略应用于系统：

   sudo restorecon -Rv /path/to/your/directory
   

   其中，/path/to/your/directory 是希望应用自定义策略的目录。

查看和更改SELinux模式

• 查看当前SELinux模式：

  getenforce
  

• 更改SELinux模式：

  编辑 /etc/selinux/config 文件，更改 SELINUX 变量的值。例如，将模式设置为 permissive：

  SELINUX=permissive
  

  更改后，需要重新启动系统以使更改生效：

  sudo reboot
  

SELinux策略示例

以下是一个简单的SELinux策略示例，用于允许某个文件被特定用户访问：

# Define the file type
type file_t;

# Define the user
user user1;

# Allow the user to access the file
allow user1 file_t:file { read write };

将此内容保存为 allow_file_access.te，然后使用以下命令编译和安装策略：

make -f /usr/share/selinux/devel/Makefile
sudo semodule -i allow_file_access.pp

然后应用策略：

sudo restorecon -Rv /path/to/your/file

通过以上步骤，可以在Ubuntu上配置和自定义SELinux策略，以满足特定的安全需求。