Tumbleweed 采用 SELinux 作为默认设置

Tumbleweed 在最近的快照之后，已将 SELinux 采用为新安装的默认 Linux 安全模块 (LSM)。

该过渡在 邮件列表中 于七月宣布，标志着该滚动发布的重大发展。昨天在 factory 邮件列表上的新公告 确认这一点将在 Tumbleweed 快照 20250211 发布时生效。此更改也适用于 openSUSE Tumbleweed minimalVM，它将默认启用 SELinux 启动。

SELinux 安全工程师 Cathy Hu 在 邮件公告 中写道：“通过 ISO 镜像安装 openSUSE Tumbleweed 的用户将在安装程序中看到 SELinux 以强制模式作为默认选项。”“如果用户希望使用 AppArmor 代替 SELinux，他们可以在安装程序中手动选择 AppArmor。”

Tumbleweed 一直使用 AppArmor 作为其默认 LSM。这标志着新安装的默认 强制访问控制 (MAC) 系统的转变，SELinux 取代 AppArmor 作为默认选择。SELinux 将仅在新安装中默认启用强制模式。现有安装不受此更改影响，并且如果他们愿意，将在安装过程中保留选择 AppArmor 的选项。

默认安装 SELinux 的切换正在实施中，并符合增长 SUSE 和 openSUSE 中 SELinux 采用的决定。预计这将通过默认情况下限制更多服务来提高安全性。SELinux 以其丰富的安全功能和在企业环境中的广泛使用而闻名。

此举预计将为 Tumbleweed 带来更严格的访问控制。用户可能会遇到错误或问题，但 Tumbleweed 的 openQA 测试在早期采用阶段识别和解决潜在问题方面发挥了关键作用。

鼓励贡献者报告出现的任何错误，并可以参考 SELinux 错误报告指南 以获取帮助。

目前还没有计划更改内核配置，安装程序将处理新安装上的 SELinux 激活。

社区对这项变化的反应总体上是积极的，尽管一些用户，特别是那些依赖高度自定义的 AppArmor 配置文件的用户，表达了担忧。AppArmor 将继续受到支持，如果需要，用户可以选择手动安装它。

此更改不影响 Leap 15.x 版本。首次启动可能需要一些时间。预计 SELinux 的更新将在未来几周内推出修复程序和调整。