在现代 Linux 系统中,尤其是 Ubuntu 这类广泛使用的发行版,保障系统服务的安全性至关重要。本文将手把手教你如何理解和配置 Ubuntu服务安全上下文,即使你是 Linux 新手也能轻松上手。
什么是服务安全上下文?
“安全上下文”(Security Context)是指操作系统为每个进程、文件或服务分配的一组安全属性,用于决定其访问权限。在 Ubuntu 中,主要通过两种机制实现:
AppArmor:Ubuntu 默认启用的强制访问控制(MAC)系统 SELinux:Red Hat 系列默认使用,但在 Ubuntu 上也可手动启用本文重点讲解 Ubuntu 原生支持的 AppArmor,并简要介绍如何在 Ubuntu 上配置 SELinux(如需)。
第1步:确认当前安全模块状态
首先,检查你的 Ubuntu 系统是否启用了 AppArmor:
如果看到类似以下输出,说明 AppArmor 正在运行: 假设你部署了一个名为 1. 安装 AppArmor 工具(如未安装): 2. 使用 此时,系统会提示你启动你的服务,并进行一些典型操作(如访问文件、网络等)。AppArmor 会记录这些行为,生成初步策略。 3. 操作完成后,按提示按 打开策略文件进行微调: 一个简单的策略示例如下: 说明: 保存后,重新加载 AppArmor 配置: 验证是否生效: 虽然 Ubuntu 默认使用 AppArmor,但如果你需要使用 SELinux配置Ubuntu,也可以手动安装: ⚠️ 注意:启用 SELinux 后可能与 AppArmor 冲突,建议仅在必要时使用,并确保了解其复杂性。 通过合理配置 Ubuntu服务安全上下文,你可以显著提升系统安全性,防止服务被恶意利用。无论是使用原生的 AppArmor,还是引入 SELinux,关键在于理解服务的实际需求,并为其分配最小必要权限——这就是 Linux服务权限控制 的核心思想。 希望这篇教程能帮助你掌握 AppArmor安全策略 的基本用法,为你的 Ubuntu 服务器构建更坚固的安全防线!sudo apparmor_statusapparmor module is loaded.10 profiles are loaded.7 profiles are in enforce mode. /usr/sbin/nginx /sbin/dhclient ...第2步:为自定义服务创建 AppArmor 安全策略
myapp
的服务,路径为 /opt/myapp/bin/server
。我们为其创建安全上下文策略。sudo apt updatesudo apt install apparmor-utilsaa-genprof
自动生成策略模板:sudo aa-genprof /opt/myapp/bin/servers
保存策略。策略文件将保存在 /etc/apparmor.d/opt.myapp.bin.server
。第3步:手动编辑安全策略(可选)
sudo nano /etc/apparmor.d/opt.myapp.bin.server#include <tunables/global>/opt/myapp/bin/server { #include <abstractions/base> #include <abstractions/nameservice> /opt/myapp/bin/server mr, /opt/myapp/data/** rwk, /var/log/myapp.log w, network inet stream,}
- mr
表示内存映射和读取
- rwk
表示读、写、加锁
- network inet stream
允许 TCP 网络连接第4步:加载并启用策略
sudo apparmor_parser -r /etc/apparmor.d/opt.myapp.bin.serversudo apparmor_status | grep myapp关于 SELinux 在 Ubuntu 上的使用(进阶)
sudo apt install selinux-basics selinux-policy-default auditdsudo selinux-activatesudo reboot总结
