前提:Ubuntu默认使用AppArmor,需先安装SELinux
Ubuntu并非默认启用SELinux(默认使用AppArmor),因此需先安装SELinux及相关工具。通过以下命令完成安装:
sudo apt update sudo apt install selinux selinux-utils auditd audispd-plugins 步骤1:配置SELinux模式
编辑SELinux配置文件/etc/selinux/config,将SELINUX参数设置为permissive(宽松模式,仅记录违规不阻止)或enforcing(强制模式,阻止违规)。例如:
sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/' /etc/selinux/config 修改后重启系统使设置生效:
sudo reboot 验证SELinux状态:
sestatus # 应显示"SELinux status: enabled"及当前模式(如"Current mode: permissive") 步骤2:安装并配置auditd服务
auditd是Linux审计框架的核心守护进程,用于记录SELinux相关事件。
sudo apt install auditd audispd-plugins sudo systemctl start auditd sudo systemctl enable auditd /etc/audit/auditd.conf,调整日志大小、保留数量等参数(如max_file_size 100表示单日志文件最大100MB,num_files 10表示保留10个归档文件),修改后重启服务:sudo systemctl restart auditd 步骤3:配置SELinux审计规则
通过auditctl命令或自定义规则文件监控SELinux关键操作:
/etc/selinux/config)、策略文件(/etc/selinux/policy)及活动策略目录(/var/lib/selinux/active)的所有读写操作,自定义关键词selinux_audit便于后续过滤:sudo auditctl -w /etc/selinux/config -p wa -k selinux_audit sudo auditctl -w /etc/selinux/policy -p wa -k selinux_audit sudo auditctl -w /var/lib/selinux/active -p wa -k selinux_audit /etc/audit/rules.d/selinux.rules,添加以下内容(监控SELinux AVC拒绝事件及上述文件变更):-w /etc/selinux/config -p wa -k selinux_audit -w /etc/selinux/policy -p wa -k selinux_audit -w /var/lib/selinux/active -p wa -k selinux_audit -a always,exit -F arch=b32 -S avc -k selinux_avc -a always,exit -F arch=b64 -S avc -k selinux_avc sudo augenrules --load 步骤4:查看与分析SELinux审计日志
ausearch命令过滤selinux_audit关键词或avc(SELinux访问控制)消息类型,-ts recent表示最近1分钟内事件,-i参数显示详细信息:sudo ausearch -k selinux_audit -ts recent -i sudo ausearch -m avc -ts recent -i aureport命令生成汇总报告,-m selinux参数聚焦SELinux事件,可查看违规次数、类型等统计信息:sudo aureport -m selinux -i /var/log/audit/audit.log,可使用grep快速筛选拒绝事件:sudo grep -i "denied" /var/log/audit/audit.log 注意事项
enforcing模式,但需提前通过permissive模式测试避免误拦截;/var/log/audit/audit.log),防止日志被覆盖或篡改;semanage(策略管理工具)和audit2allow(生成自定义策略)工具使用。
