在Ubuntu上，SELinux（Security-Enhanced Linux）是一個用于提高系統安全性的強大工具

1. 首先，確保您的系統已經安裝了SELinux。在終端中輸入以下命令：

sudo apt-get update
sudo apt-get install selinux

2. 安裝完成后，重啟系統以使SELinux生效。

3. 要限制進程權限，您需要創建一個自定義的SELinux策略。首先，安裝selinux-policy-dev包，它包含了創建和編輯策略所需的工具。

sudo apt-get install selinux-policy-dev

4. 創建一個新的策略文件夾，并進入該文件夾：

mkdir my_selinux_policy
cd my_selinux_policy

5. 使用sepolgen工具創建一個基本的策略模板：

sepolgen --init

6. 現在，您可以開始編輯策略。首先，打開policy/modules/100/base/module.te文件：

nano policy/modules/100/base/module.te

7. 在文件中，添加以下內容以限制進程權限。這里我們將限制名為my_process的進程只能讀取/var/log/my_process.log文件：

module my_process 1.0;

require {
    type my_process_t;
    type var_log_t;
    class file { read };
}

#============= my_process_t ==============
allow my_process_t var_log_t:file read;

8. 保存并關閉文件。

9. 接下來，編譯策略：

make -f /usr/share/selinux/devel/Makefile

10. 安裝策略：

sudo semodule -i my_process.pp

11. 為了使策略生效，您需要將進程標記為my_process_t類型。這可以通過修改進程的啟動腳本或使用semanage命令來實現。例如，如果您的進程由systemd管理，您可以編輯服務文件（通常位于/etc/systemd/system/或/lib/systemd/system/），并在[Service]部分添加以下行：

ExecStartPost=-/bin/sh -c "/usr/sbin/semanage fcontext -a -t my_process_t '/path/to/your/executable'"
ExecStartPost=-/bin/sh -c "/usr/sbin/restorecon -v '/path/to/your/executable'"

12. 最后，重新加載systemd配置并重啟服務：

sudo systemctl daemon-reload
sudo systemctl restart your_service

現在，您的進程應該受到限制，只能讀取/var/log/my_process.log文件。請注意，這只是一個簡單的示例，您可能需要根據實際需求調整策略。