如何在Ubuntu上安装SELinux

Ubuntu有一个类似于SELinux的强制访问控制系统，名为AppArmor。SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。SELinux和AppArmor都提供了一组工具来隔离应用程序，以保护主机系统免受攻击。AppArmor为Ubuntu用户提供强制访问控制选项，没有SELinux可能遇到的困难或学习曲线效应。如果您想要切换到Ubuntu，已经熟悉SELinux并希望使用它来强制系统的安全性，您可以按照这个简短的教程安装它。

开始之前

您需要一台已经设置好可以使用sudo命令的非root账号的CentOS服务器，并且已开启防火墙。没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后在购买服务器。

腾讯云的Ubuntu系统默认不支持SELinux。需要安装特定的内核，请遵循本教程，并在管理器的内核菜单中选择GRUB2。如果您使用的是远程服务器，如腾讯云的CVM，则不要使用reboot命令，请从控制台管理器重新启动计算机。

删除AppArmor

警告 在本教程中，AppArmor是您的默认安全模块。删除但不替换AppArmor会使您的系统面临风险。如果您认为将来可能会重新使用AppArmor，则不要删除它。

在/etc/init.d/停止AppArmor脚本：

sudo /etc/init.d/apparmor stop

从系统中清除AppArmor。

apt purge apparmor

如果您担心配置文件被删除，请使用apt remove apparmor。

更新并重新启动系统：

apt update && upgrade -yuf
reboot

安装SELinux

安装SELinux软件包并重启系统：

apt install selinux
reboot

您可以通过尝试将SELinux设置为enforcing模式来确定SELinux是否在您的系统上强制执行安全性。

root@ubuntu:~# setenforce 1
root@ubuntu:~# getenforce
Enforcing

注意 如果收到错误消息setenforce: SELinux is disabled，请检查您是否仍在使用腾讯云自定义内核。如果没有，请确保所选内核为GRUB2并再次尝试安装SELinux。

如果想要在重启之后保持enforcing模式，请将位于/etc/selinux/config的SELinux配置文件从默认值SELINUX=permissive修改为SELINUX=enforcing：

/etc/selinx/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing

这样，你就可以在Ubuntu系统上启用SELinux内核了！请持续关注腾讯云+社区的教程，稍后我们将带来更多SELinux的教程。

参考文献：《Getting Started with SELinux》