Ubuntu SELinux如何限制进程权限

在Ubuntu上，SELinux（Security-Enhanced Linux）是一个用于提高系统安全性的强大工具

1. 首先，确保您的系统已经安装了SELinux。在终端中输入以下命令：

sudo apt-get update
sudo apt-get install selinux

2. 安装完成后，重启系统以使SELinux生效。

3. 要限制进程权限，您需要创建一个自定义的SELinux策略。首先，安装selinux-policy-dev包，它包含了创建和编辑策略所需的工具。

sudo apt-get install selinux-policy-dev

4. 创建一个新的策略文件夹，并进入该文件夹：

mkdir my_selinux_policy
cd my_selinux_policy

5. 使用sepolgen工具创建一个基本的策略模板：

sepolgen --init

6. 现在，您可以开始编辑策略。首先，打开policy/modules/100/base/module.te文件：

nano policy/modules/100/base/module.te

7. 在文件中，添加以下内容以限制进程权限。这里我们将限制名为my_process的进程只能读取/var/log/my_process.log文件：

module my_process 1.0;

require {
    type my_process_t;
    type var_log_t;
    class file { read };
}

#============= my_process_t ==============
allow my_process_t var_log_t:file read;

8. 保存并关闭文件。

9. 接下来，编译策略：

make -f /usr/share/selinux/devel/Makefile

10. 安装策略：

sudo semodule -i my_process.pp

11. 为了使策略生效，您需要将进程标记为my_process_t类型。这可以通过修改进程的启动脚本或使用semanage命令来实现。例如，如果您的进程由systemd管理，您可以编辑服务文件（通常位于/etc/systemd/system/或/lib/systemd/system/），并在[Service]部分添加以下行：

ExecStartPost=-/bin/sh -c "/usr/sbin/semanage fcontext -a -t my_process_t '/path/to/your/executable'"
ExecStartPost=-/bin/sh -c "/usr/sbin/restorecon -v '/path/to/your/executable'"

12. 最后，重新加载systemd配置并重启服务：

sudo systemctl daemon-reload
sudo systemctl restart your_service

现在，您的进程应该受到限制，只能读取/var/log/my_process.log文件。请注意，这只是一个简单的示例，您可能需要根据实际需求调整策略。