首先确认SElinux状态,通过sestatus和getenforce命令查看;随后根据需求设置Enforcing、Permissive或Disabled模式,临时用setenforce,永久修改/etc/selinux/config文件;接着管理文件上下文,使用ls -Z查看,restorecon或chcon调整,semanage fcontext实现持久化;当发生拒绝时,利用ausearch和sealert分析日志并修复;最后通过getsebool和setsebool配置布尔值以灵活控制策略,如httpd_can_network_connect等,确保安全与功能平衡。
SELinux(Security-Enhanced Linux)是linux系统中一个强大的安全模块,通过强制访问控制(mac)机制提升系统安全性。正确配置SELinux可以在不影响业务的前提下有效防止越权操作。以下是详细的SElinux配置步骤。
查看SELinux状态
在进行任何配置前,先确认SELinux当前的运行状态:
- sestatus:查看SELinux是否启用及当前模式。
- getenforce:快速输出当前模式(Enforcing、Permissive 或 Disabled)。
例如:
sestatus
输出中会显示状态、模式以及使用的策略类型(如 targeted)。
设置SELinux运行模式
SELinux有三种主要模式:
- Enforcing:强制执行安全策略,所有违规操作被阻止并记录。
- Permissive:仅记录违规行为,不阻止操作,适合调试。
- Disabled:完全关闭SELinux(需重启生效)。
临时切换模式使用 setenforce 命令:
setenforce 0 # 切换为 Permissive 模式<br>setenforce 1 # 切换为 Enforcing 模式
注意:setenforce 不能将已禁用的SELinux启用。
永久配置需修改配置文件:
/etc/selinux/config
编辑该文件,设置所需模式:
SELINUX=enforcing # 或 permissive、disabled<br>SELINUXTYPE=targeted
修改后需重启系统生效。
管理文件和目录的SELinux上下文
SELinux通过上下文标签(Context)控制对文件、进程等资源的访问。查看文件上下文:
ls -Z /path/to/file
例如查看Web根目录:
ls -Z /var/www/html
若文件上下文不正确,可能导致服务无法访问。可使用 restorecon 恢复默认上下文:
restorecon -v /var/www/html/index.html
或使用 chcon 手动修改上下文(临时):
chcon -t httpd_sys_content_t /var/www/html/test.html
要永久更改上下文,使用 semanage fcontext:
semanage fcontext -a -t httpd_sys_content_t "/webdata(/.*)?"<br>restorecon -R /webdata
这样即使恢复默认上下文,新路径也会应用正确的类型。
处理SELinux拒绝事件
当SELinux阻止操作时,会记录日志。常用排查工具包括:
- ausearch:搜索审计日志中的SELinux拒绝项。
- sealert:解析拒绝原因并提供修复建议。
查看最近的拒绝事件:
ausearch -m avc -ts recent
使用 sealert 分析:
sealert -a /var/log/audit/audit.log
它会输出人类可读的解释,并建议如何放行操作(如调整布尔值或上下文)。
配置SELinux布尔值
SELinux布尔值用于动态开启或关闭某些策略规则,无需重启。查看与httpd相关的布尔值:
getsebool -a | grep httpd
例如允许Web服务器访问网络:
setsebool -P httpd_can_network_connect on
其中 -P 表示永久生效。
常见布尔值包括:
- httpd_can_sendmail
- samba_enable_home_dirs
- allow_ssh_keysign
根据服务需求灵活调整。
基本上就这些。合理配置SELinux能显著提升系统安全性,关键是理解上下文、模式和日志分析。不要直接关闭SELinux,而是通过策略调整解决问题。熟悉工具链后,管理起来并不复杂但容易忽略细节。