SELinux是一种基于角色的访问控制(RBAC)系统，它通过为每个进程和文件分配安全上下文来实现强制访问控制(MAC)。与传统的自主访问控制(DAC)不同，SELinux提供了更细粒度的安全控制。

• 三种运行模式：强制模式(Enforcing)、许可模式(Permissive)和禁用模式(Disabled)
• 策略类型：目标策略(Targeted)和多级安全(MLS)
• 安全上下文：用户:角色:类型:级别格式的标识

在开始配置前，首先需要确认当前SELinux的状态：

# 查看SELinux状态
sestatus

# 或使用getenforce命令
getenforce

# 查看当前策略
cat /etc/selinux/config | grep SELINUXTYPE

1. 修改运行模式

临时修改(重启后失效)：

# 设置为强制模式
setenforce 1

# 设置为许可模式
setenforce 0

永久修改：编辑/etc/selinux/config文件，修改SELINUX参数：

SELINUX=enforcing  # 或permissive/disabled

2. 修改策略类型

在/etc/selinux/config中设置：

SELINUXTYPE=targeted  # 或mls

3. 管理文件上下文

查看文件上下文：

ls -Z /path/to/file

修改文件上下文：

chcon -t httpd_sys_content_t /var/www/html/index.html

恢复默认上下文：

restorecon -Rv /path/to/directory

1. 服务无法启动

查看SELinux日志：

grep "denied" /var/log/audit/audit.log

生成策略模块：

audit2allow -a -M mypolicy
semodule -i mypolicy.pp

2. 端口访问被拒绝

查看允许的端口：

semanage port -l

添加新端口：

semanage port -a -t http_port_t -p tcp 8080

• 新服务器部署时，先在许可模式下测试应用
• 定期检查/var/log/audit/audit.log中的拒绝记录
• 使用semanage工具而非直接修改策略文件
• 为自定义应用创建特定的SELinux策略模块
• 在Docker等容器环境中谨慎配置SELinux