Ubuntu SELinux网络策略配置技巧

2025年9月11日 互联网

以下是Ubuntu SELinux网络策略配置的核心技巧,需先安装selinux-basics等基础包并启用强制模式:

一、基础策略配置

  1. 管理端口访问

    • 查看现有端口标签:semanage port -l
    • 为服务添加非标准端口:
      semanage port -a -t http_port_t -p tcp 8080(如允许HTTP服务使用8080端口)
    • 删除端口标签:semanage port -d -t http_port_t -p tcp 8080

  2. 控制进程网络访问

    • 允许服务访问网络:setsebool -P httpd_can_network_connect 1(针对HTTP服务)
    • 限制进程仅能访问特定IP/端口:需编写自定义策略模块,通过audit2allow工具生成规则。

二、高级策略技巧

  1. 自定义策略模块

    • 从日志提取拒绝事件:ausearch -m avc -ts recent
    • 生成策略模块:audit2allow -M mypolicy
    • 编译并加载策略:semodule -i mypolicy.pp

  2. 文件上下文与网络服务隔离

    • 为网络服务相关文件设置上下文:
      chcon -R -t httpd_sys_content_t /var/www/html
      semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"(持久化)

  3. 网络命名空间隔离

    • 通过ip netns创建隔离网络空间,配合SELinux限制进程仅能访问特定命名空间内的网络资源。

三、验证与维护

  • 检查SELinux状态:sestatus(确认是否为enforcing模式)
  • 查看策略生效情况:getsebool -a | grep httpd(查看布尔值状态)
  • 监控日志:tail -f /var/log/audit/audit.log,分析拒绝事件并优化策略

注意:SELinux配置复杂,建议在测试环境验证后再应用于生产环境,优先使用Ubuntu默认的AppArmor(更轻量且与系统兼容性更好)。

参考来源:

最新文章
热门标签