Ubuntu 20.04内核安全配置踩坑实录：SELinux策略导致服务启动失败

在Ubuntu 20.04系统中部署SELinux策略时，我们遇到了服务启动失败的典型问题。环境配置：Ubuntu 20.04 LTS，内核版本5.4.0-74-generic，目标服务为nginx（版本1.18.0）。

问题复现步骤：

1. 安装SELinux相关包：sudo apt install selinux-utils selinux-policy selinux-policy-dev
2. 启用SELinux模式：sudo setenforce 1
3. 应用默认策略：sudo semanage fcontext -a -t httpd_exec_t /usr/sbin/nginx
4. 重启服务：sudo systemctl restart nginx

故障现象： nginx服务启动失败，日志显示SELinux: denied { name_bind } for...。通过sealert -l分析，发现策略拒绝了nginx绑定到80端口的权限。

解决方案：

1. 通过semanage port -l | grep http_port_t查看HTTP端口范围
2. 为nginx添加正确的端口上下文：sudo semanage port -a -t http_port_t -p tcp 80
3. 重新加载SELinux策略：sudo restorecon -R /usr/sbin/nginx
4. 验证服务状态：sudo systemctl status nginx

关键配置要点：

• SELinux策略必须精确匹配服务的网络访问需求
• 端口上下文配置是解决服务启动问题的关键步骤
• 建议在生产环境前使用setenforce 0进行测试验证

该案例说明了SELinux策略实施需要结合具体服务特性，不能简单套用默认策略。