一、SELinux基础概念

SELinux是美国国家安全局(NSA)开发的一种强制访问控制(MAC)安全机制，它为Linux系统提供了更细粒度的访问控制。

1.1 SELinux的三种工作模式

• Enforcing(强制模式)：强制执行安全策略并记录违规行为
• Permissive(宽容模式)：仅记录违规行为而不阻止
• Disabled(禁用模式)：完全关闭SELinux

二、检查SELinux状态

在配置前，首先需要检查当前系统的SELinux状态：

# sestatus
# getenforce

三、修改SELinux模式

3.1 临时修改模式

使用以下命令可以临时改变SELinux模式：

# setenforce 0  # 设置为Permissive模式
# setenforce 1  # 设置为Enforcing模式

3.2 永久修改模式

要永久改变SELinux模式，需要编辑配置文件：

# vi /etc/selinux/config

修改其中的SELINUX=值为enforcing, permissive或disabled

四、SELinux策略管理

4.1 基本策略命令

# semanage boolean -l  # 列出所有布尔值
# setsebool -P httpd_can_network_connect on  # 修改布尔值

4.2 文件和端口标签管理

# ls -Z  # 查看文件SELinux标签
# chcon -t httpd_sys_content_t /path/to/file  # 修改文件标签
# semanage port -a -t http_port_t -p tcp 8080  # 添加端口标签

五、SELinux故障排除

5.1 查看SELinux日志

# ausearch -m avc -ts today  # 查看今天的SELinux拒绝事件
# sealert -a /var/log/audit/audit.log  # 分析SELinux问题

5.2 常见问题解决方案

• 服务无法启动：检查SELinux日志，适当调整策略
• 文件访问被拒绝：使用chcon或restorecon修正标签
• 网络连接问题：检查相关布尔值和端口标签

六、SELinux最佳实践

1. 新服务器建议先在Permissive模式下测试
2. 生产环境应保持Enforcing模式
3. 定期检查SELinux日志
4. 优先使用标准策略，避免过度放宽权限