首页 > 系统相关 >Ubuntu 上使能 SELinux

Ubuntu 上使能 SELinux

时间:2023-12-23 22:32:14浏览次数:34  
标签:rand permissive SELinux enforcing Ubuntu system selinux

此文档说明如何在 ubuntu 上启用 SELinux,测试环境为虚拟机,开始前一定一定一定先来个快照,不要问我为什么有三个一定。

卸载 apparmor(可选)

ubuntu 默认安装的安全组件为 apparmor,网上文档说最好卸载掉 apparmor,可能冲突之类的问题,说法可能有点有误啊,apparmor 和 selinux 不兼容,当启用 selinux 后,apparmor 是不会生效的,所以应该是没有冲突这一说法,想卸载的可以执行以下命令。

sudo systemctl stop apparmor
sudo apt purge apparmor

安装 SELinux 相关包

sudo apt install selinux-basics

此命令会安装 SELinux default 策略,以及相关库、工具等等

sudo apt install auditd

auditd 用来收集 SELinux 相关日志,特别是访问拒绝日志

sudo apt install setools setoos-gui

包含了 SELinux 策略分析工具 apol

sudo apt install selinux-policy-dev

开发 selinux 相关程序需要用到此开发包

激活 SELinux

sudo selinux-activate

此命令做了两件事:

  1. 增加启动参数 security=selinux,意思是说系统的安全模块为 selinux,内核启动时,许多模块都需要传入相关参数,来开启或关闭某些功能。
  1. 启动参数位于 /boot/grub/grub.cfg 文件,sudo selinux-activate 之后我们可以看到如下字样:
linux   /boot/vmlinuz-5.15.0-53-generic root=UUID=a1b7da65-54d8-415f-b4c0-6dc75fa37cf8 ro  security=selinux quiet splash $vt_handoff
  1. 当前系统的启动参数可以通过命令 cat /proc/cmdline 查看
  1. 在 / 根目录下创建 .autorelabel 文件,selinux 有一个开机自启动脚本,它会检查 .autorelabel 文件是否存在,如果存在,那么便会开始给整个文件系统上面的文件打上标签,可以理解为初始化客体安全上下文的操作,具体细节后面讲述。
  1. 这个开机自启动脚本为 /etc/init.d/selinux-autorelabel,但是 NOTE 开机的时候其实并不是直接执行此脚本,因为现在的 ubuntu 都是用 systemd,systemctl 这套服务启动,它兼容了老版 /etc/init.d/ 下面的启动脚本,会自动将这些脚本转换为 service 然后执行。

设置模式

SELinux 有三种模式:

  • disabled ,SELinux 处于禁止未启用的状态
  • permissive ,SELinux 对于白名单之外的所有访问只是记录日志,并不会真正的拒绝
  • enforcing ,SELinux 对于白名单之外的所有访问全部拒绝并记录日志

SELinux 的配置文件为 /etc/selinux/config,如下所示:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls     - Multi-Level Security (for military and educational use)
# src     - Custom policy built from source
SELINUXTYPE=default

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0

这是默认的配置,有两项重要的内容:

  • SELINUX=permissive,表示设置 SELinux 模式为 permissive,如果有变动,下次启动生效
  • SELINUXTYPE=default,此项的注释实在有点扰人,它其实表示当前 SELinux 策略为 default,在 /etc/selinux 目录下会有对应的目录 default,不同的策略在 /etc/selinux/ 下面都要有对应的目录,其内容为对应的策略文件,通过设置 SELINUXTYPE=xxx 可以切换不同的策略。

NOTE:第一次使能 SELinux 时,千万千万千万不要将设置 SELINUX=enforcing,千万千万千万不要执行 sudo selinux-config-enforcing命令,它会设置 SELINUX=enforcing。不要问我为什么有三个千万,网上有的教程就是让第一次使能 SELinux 的朋友执行 SELINUX=enforcing,这不是坑人吗

重启

重启 ubuntu,在启动时,应该会出现如下所示的界面:

Ubuntu 上使能 SELinux_linux

这就是在为整个文件系统打标签,可能需要等待一会儿,因为给磁盘上文件打标签本质上是在设置文件的 xattr 属性,所以比较慢

SELinux 相关命令

按照上面的步骤,不出意外的话应该是可以正常启动的,不能正常启动的解决方法见后

sestatus 命令查看当前 SELinux 状态

rand@rand-virtual-machine:~$ sestatus 
SELinux status:                 enabled               //SELinux 处于使能状态
SELinuxfs mount:                /sys/fs/selinux       
SELinux root directory:         /etc/selinux
Loaded policy name:             default
Current mode:                   permissive           //SELinux 当前模式为 permissive,setenforce 命令可以修改
Mode from config file:          permissive           //config文件中记录的模式
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     requested (insecure)
Max kernel policy version:      33

其他项的含义后面再详述,这里看到状态为 enabled、模式为 permissive 就行

getenforce 可以查看当前的 SELinux 模式

rand@rand-virtual-machine:~$ getenforce
Permissive

setenforce 可以修改当前的模式,0 表示 permissive,1 表示 enforcing

SELinux 刚使能,不要去执行 setenforce 1开启 enforcing 模式,会死机的

ls -Z可以查看文件的安全上下文(标签)

rand@rand-virtual-machine:~$ ls -Z
system_u:object_r:user_home_t:s0 公共的
system_u:object_r:user_home_t:s0 模板
system_u:object_r:user_home_t:s0 视频
system_u:object_r:user_home_t:s0 图片

安全上下文总共由四部分组成,第三部分 user_home_t 则是前文说到的类型,这里表示 “视频” “图片” 这几个目录的类型为 user_home_t。其余部分后面再讲述

ps -Z 可以查看进程的安全上下文

rand@rand-virtual-machine:~$ ps -Z
LABEL                               PID TTY          TIME CMD
system_u:system_r:initrc_t:s0      2306 pts/0    00:00:00 bash
system_u:system_r:initrc_t:s0      2513 pts/0    00:00:00 ps

bash 这个进程的类型为 initrc_t

不能开机了?

不能正常开机,多半两个问题:

  1. SELinux 模式设置成了 enforcing 模式,前面一直强调不要设置为 enforcing 模式,是因为直接应用 default 默认策略会产生许多的拒绝访问,导致不能正常启动,所以需要设置为 permissive 模式
  2. 文件系统未正常标记,可能是 / 根目录下未正常创建 .autorelabel 文件导致的

如何解决呢?

修改启动参数

系统启动时按下 Esc 键,进入如下界面:

Ubuntu 上使能 SELinux_ci_02

第一个选项中按下 e 键,进入如下界面:

Ubuntu 上使能 SELinux_linux_03

找到 linux 这一行,这一行便是启动参数,这里添加 selinux=0,"="两边不要有空格,selinux=0 表示禁止 selinux

按下 ctrl+x 重启,不出意外的话可以正常重启,执行 sestatus 命令,发现 selinux 禁止了

rand@rand-virtual-machine:~$ sestatus 
SELinux status:                 disabled

NOTE,此种方式修改启动参数只当前启动有效,如果想要永久生效,可以自己手动修改 /boot/grub/grub.cfg 文件

如果出现意外了,还是不能重启?

recovery mode

同样的系统启动时 Esc 进入grub,然后选择 “Ubuntu 的高级选项”,英文应该是 “Advanced options for ubuntu”

Ubuntu 上使能 SELinux_安全_04

然后选择一个 recovery mode 回车

Ubuntu 上使能 SELinux_重启_05

选择 root

Ubuntu 上使能 SELinux_linux_06

此时会拉起一个 shell,让你登录 root 账户,这里需要 root 的密码,root 密码可能需要进入系统进行初始设置但你又进不去系统,死锁?反正这里先假设你有 root 账户

获取到 root shell 之后,修改 /etc/selinux/config 文件中的 SELINUX=permissive,或者 SELINUX=disabled 直接禁掉

在 / 根目录下 touch .autorelabel创建文件,加一重保险,执行 echo -F > .autorelabel这是为了强制对文件系统按照当前策略配置文件打标签,具体原因后面篇章详述

设置完成后,reboot 重启,应该是能正常重启了

还不能重启?恢复快照吧,在初期不熟悉 SELinux 的时候,使能时可能会遇到各种感觉匪夷所思的问题,所以最好时备份一下。

好了,本文就先到这里,后面篇章再说明动态添加策略以开启 enforcing 模式的问题,有什么问题欢迎来讨论交流。

标签:rand,permissive,SELinux,enforcing,Ubuntu,system,selinux
From: https://blog.51cto.com/u_15193561/8947263

相关文章

  • U盘制作、安装Ubuntu系统
    制作ubuntuU盘启动盘下载Ubuntu镜像打开Ubuntu官网:https://ubuntu.com/download/desktop,进入页面后,点击右边的【Download】按钮开始下载Ubuntu的ISO系统镜像文件下载安装并配置U盘启动盘下载Rufuse写盘工具,完成后打开下载地址:http://rufus.ie/zh插入用来做启动......
  • ubuntu22.04 install cuda cudnn
    https://blog.csdn.net/qq_49323609/article/details/130310522isverygood  1,firstcheckdrivernvidia-smiifnocontent,showinstalldriverfirst twoways:oneis:useapt-getlike:https://blog.csdn.net/zxdd2018/article/details/127705627ubuntu-d......
  • Ubuntu 22.04.3 LTS 编译 OpenJDK 12
    基于《深入理解Java虚拟机》第3版1.配置环境更新软件源sudoaptupdate获取源码wgethttps://hg.openjdk.org/jdk/jdk12/archive/06222165c35f.zip构建基础编译环境sudoaptinstallbuild-essential此处安装的gcc及g++的版本为11,需要替换为7。参考这个......
  • Ubuntu22.04 安装 MQTT 服务器
    本周web课简单了解了MQTT,在此记录下我的安装使用(用python写个订阅新闻的简单示例)流程,如有错误,欢迎指正!1.MQTT简介MQTT是一种轻量级的消息传递协议,专为低带宽、高延迟或不可靠的网络环境设计。1.1MQTT的主要特点轻量级和低带宽:MQTT协议的头部非常小,这使得它在带......
  • ubuntu18离线安装mysql8.0
    参考文档Ubuntu中使用apt下载离线包以及相关依赖包-厚礼蝎-博客园(cnblogs.com)ubuntu18.04安装mysql8.0详细教程及踩坑解决方法(包含删除Mysql5.7版本方法)_ubuntu编译安装mysql-CSDN博客如何配置MySQL8中的lower_case_table_names来让其忽略大小写?–就是这个范儿(thi......
  • Ubuntu22.04 安装 kvm
    确认环境egrep-c'(vmx|svm)'/proc/cpuinfo输出结果需要大于0,否则主机需要开启cpu虚拟化功能。设置桥接网卡#网卡配置示例cat<<'EOF'|sudotee/etc/netplan/00-installer-config.yaml>/dev/null#Thisisthenetworkconfigwrittenby'subiquity'netw......
  • Ubuntu18下实时Linux内核的编译安装记录(保姆级)
    本人系统是虚拟机上的ubuntu18,过程参考了以下3个链接:https://blog.csdn.net/huangjunsheng123/article/details/116202848https://blog.51cto.com/u_15899439/5907513https://kunaly.blog.csdn.net/article/details/101111502?spm=1001.2101.3001.6650.3&utm_medium=distribute......
  • 软件测试/测试开发|Ubuntu系统入门教程
    前言上文我们介绍了Ubuntu系统的安装,还没有介绍Ubuntu系统的使用,对于习惯了使用Windows系统的我们来说,Ubuntu和Windows还是有着比较大的区别的,本文就来介绍一下Ubuntu系统的入门使用。Windows和Linux文件系统区别我们都知道,Windows操作系统的文件管理是分盘的,我们有C盘,D盘......
  • ubuntu镜像制作
    实现步骤:基础镜像:ubuntu:18.04python版本:python3.8.8jupyter安装ssh服务xface4实现图形界面tigervncserver实现远程连接novnc实现web远程supervisor实现服务进程自动拉起 dockerrun-itd--namemyosubuntu:18.04dockerexec-itmyosbashaptupdate#安装p......
  • Windows10 卸载WSL Ubuntu (解决Docker Desktop 报错问题)
    首先在“程序”里面卸载“WindowsSubsystemforLinuxUpdate”然后使用命令行卸载已安装的子系统1、查看当前环境安装的wslwsl--list2、注销(卸载)当前安装的Linux的Windows子系统wsl--unregisterUbuntu3、卸载成功,查看当前安装的Linux的Windows子系统wsl--list4......