Linux内核安全特性启用指南:SElinux与AppArmor对比
在Linux系统安全防护中,SELinux(Security-Enhanced Linux)和AppArmor是两个重要的强制访问控制(MAC)机制。本文将通过具体配置案例,对比这两种安全特性的启用方法与实际效果。
SELinux配置示例
- 检查SELinux状态:
sestatus
- 临时启用SELinux:
setenforce 1
- 永久启用: 编辑
/etc/selinux/config文件,将SELINUX=enforcing设置为强制模式。 - 验证策略:
sestatus -v
AppArmor配置示例
- 检查AppArmor状态:
aa-status
- 启用AppArmor服务:
sudo systemctl start apparmor
sudo systemctl enable apparmor
- 创建策略文件:在
/etc/apparmor.d/目录下创建/usr/sbin/nginx策略文件,定义nginx的访问权限。 - 加载策略:
sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.nginx
对比分析
- SELinux:基于类型强制访问控制(TE),安全级别更高但配置复杂,适合高安全要求场景。
- AppArmor:基于路径的访问控制,配置简单直观,更适合快速部署。
两种机制在生产环境中可结合使用,提升系统整体安全性。
讨论