如何快速检查SELinux安全状态？

查看 SELinux 运行状态

1. 使用 sestatus 命令

   sestatus

   • 关键输出：
     • SELinux status: enabled（已启用）或 disabled（已禁用）
     • Current mode: enforcing（强制模式）、permissive（宽容模式）或 disabled
     • Policy version: 当前策略版本（如 31）
     • Policy from config file: 加载的策略名称（如 targeted）

2. 检查内核参数

   grep -E "SELINUX=|SELINUXTYPE=" /etc/selinux/config

   • 结果说明：
     • SELINUX=enforcing：系统重启后将启用强制模式
     • SELINUXTYPE=targeted：默认策略类型（针对网络服务限制）

查看当前模式（无需重启）

getenforce

• 返回结果：
  • Enforcing：强制模式（拒绝违规操作并记录日志）
  • Permissive：宽容模式（仅记录日志，不阻止操作）
  • Disabled：已禁用

查看策略详情

1. 列出所有布尔值（动态开关）

   getsebool -a

   • 示例输出：
     httpd_can_network_connect --> off（表示 Apache 禁止联网）
   • 修改布尔值：

     setsebool -P httpd_can_network_connect on  # -P 永久生效

2. 检查文件/目录的上下文标签

   ls -Z /var/www/html

   • 输出示例：
     -rw-r--r--. root root system_u:object_r:httpd_sys_content_t index.html
     • 关键字段：httpd_sys_content_t（Web 内容默认标签）

3. 查看进程的上下文

   ps -eZ | grep nginx

   • 输出示例：
     system_u:system_r:httpd_t:s0 1234 ? nginx
     • httpd_t：Web 服务进程的默认标签

诊断 SELinux 拒绝事件

1. 查看审计日志

   ausearch -m AVC,USER_AVC -ts today  # 查询今日的拒绝记录

   • 关键字段：
     scontext=system_u:system_r:httpd_t（源上下文）
     tcontext=system_u:object_r:samba_share_t（目标上下文）
     tclass=file（操作对象类型）

2. 使用 sealert 生成分析报告

   sealert -a /var/log/audit/audit.log

   • 该工具会提供解决方案建议（需安装 setroubleshoot 包）

常见问题排查

• 服务无法启动：
  检查日志中的 AVC denied 记录，确认是否因标签错误导致。
• 文件访问被拒：
  使用 restorecon 修复标签：

   restorecon -Rv /path/to/file  # -R 递归修复，-v 显示详情

• 临时切换模式（调试用）：

   setenforce 0  # 切换为 Permissive 模式
   setenforce 1  # 切回 Enforcing 模式

重要提示：

• 修改配置后需重启生效：reboot
• 生产环境避免禁用 SELinux，优先调整策略或布尔值
• 策略包更新命令：yum update selinux-policy*

引用说明：
本文操作基于 CentOS/RHEL 8 及 SELinux 官方文档，参考来源：

• Red Hat SELinux 用户手册（https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/using_selinux/index）
• NSA SELinux 项目（https://github.com/SELinuxProject）
• Linux 手册页（man semanage, man auditd）