117笔记问答在Ubuntu上,SELinux(Security-Enhanced Linux)是一个用于提高系统安全性的强大工具
- 首先,确保您的系统已经安装了SELinux。在终端中输入以下命令:
sudo apt-get update sudo apt-get install selinux
-
安装完成后,重启系统以使SELinux生效。
-
要限制进程权限,您需要创建一个自定义的SELinux策略。首先,安装
selinux-policy-dev包,它包含了创建和编辑策略所需的工具。
sudo apt-get install selinux-policy-dev
- 创建一个新的策略文件夹,并进入该文件夹:
mkdir my_selinux_policy cd my_selinux_policy
- 使用
sepolgen工具创建一个基本的策略模板:
sepolgen --init
- 现在,您可以开始编辑策略。首先,打开
policy/modules/100/base/module.te文件:
nano policy/modules/100/base/module.te
- 在文件中,添加以下内容以限制进程权限。这里我们将限制名为
my_process的进程只能读取/var/log/my_process.log文件:
module my_process 1.0;
require {
type my_process_t;
type var_log_t;
class file { read };
}
#============= my_process_t ==============
allow my_process_t var_log_t:file read;
-
保存并关闭文件。
-
接下来,编译策略:
make -f /usr/share/selinux/devel/Makefile
- 安装策略:
sudo semodule -i my_process.pp
- 为了使策略生效,您需要将进程标记为
my_process_t类型。这可以通过修改进程的启动脚本或使用semanage命令来实现。例如,如果您的进程由systemd管理,您可以编辑服务文件(通常位于/etc/systemd/system/或/lib/systemd/system/),并在[Service]部分添加以下行:
ExecStartPost=-/bin/sh -c "/usr/sbin/semanage fcontext -a -t my_process_t '/path/to/your/executable'" ExecStartPost=-/bin/sh -c "/usr/sbin/restorecon -v '/path/to/your/executable'"
- 最后,重新加载systemd配置并重启服务:
sudo systemctl daemon-reload sudo systemctl restart your_service
现在,您的进程应该受到限制,只能读取/var/log/my_process.log文件。请注意,这只是一个简单的示例,您可能需要根据实际需求调整策略。