selinux 当前模式以 /sys/fs/selinux/enforce 文件值为准:1 为 enforcing,0 为 permissive;sestatus 和 getenforce 可能缓存,不反映实时状态。
怎么确认 SELinux 当前是 enforcing 还是 permissive
直接看 /sys/fs/selinux/enforce 文件内容:值为 1 表示 enforcing,0 表示 permissive。别只信 sestatus 输出里那句“Current mode”,它可能被缓存或误读;真正起作用的是这个文件的实时值。临时切 permissive 可以写 echo 0 > /sys/fs/selinux/enforce(需 root),但重启后失效。永久修改要改 /etc/selinux/config 中的 SELINUX= 行,改成 permissive 或 disabled —— 注意:disabled 是彻底关 SELinux,不是调优,多数生产环境不建议。
-
sestatus -v能看到策略类型(如targeted)、当前模式、以及各服务的上下文是否加载成功 - 改
/etc/selinux/config后必须重启才能生效,setenforce命令只影响运行时 - 不要依赖
getenforce判断“是否已关闭”:它返回Permissive时,策略仍在加载、AVC 拒绝日志照常生成
为什么 audit.log 里一堆 AVC denied 却没实际报错
因为进程在 permissive 模式下运行,或者对应域(domain)被设为 permissive(比如用 semanage permissive -a httpd_t)。这种情况下,SELinux 仍会检查并记录所有拒绝,但不真正拦截操作。现象是:服务能跑通,ausearch -m avc -ts recent 却刷屏。这不是误报,而是你在“开着监控拍违规,但不拦人”。
- 检查某个域是否 permissive:
seinfo -x -t httpd_t | grep permissive(输出含permissive字样即为开启) - 清除 permissive 域:
semanage permissive -d httpd_t,再切回 enforcing 才能验证真实拦截效果 -
audit2why和audit2allow处理的都是这些日志,但若域本身是 permissive,生成的规则可能冗余甚至掩盖真正问题
audit2allow 生成的 .te 文件为啥编译失败
常见原因是策略模块依赖缺失或语法越界。比如用了 apache_stream_connect 但没声明 require { type httpd_t; },或在 RHEL 8+ 上用了已被废弃的 gen_require。更隐蔽的是:SELinux 策略编译器(checkmodule)默认不接受新语法特性,而 audit2allow -R(推荐模式)生成的规则可能含 optional_policy,需要额外加 -o 参数指定输出二进制模块。
- 编译前先检查语法:
checkmodule -M -m -o /dev/null your_module.te - 若提示 “undefined type”,说明
require块漏了关键 type 或 class,用seinfo -t | grep xxx确认是否存在 - RHEL/CentOS 7 用
policycoreutils-python,8+ 改用policycoreutils-python-utils,装错包会导致audit2allow功能残缺 - 不要直接
audit2allow -a -M mymod全量生成:容易把调试行为(如shell_exec)也塞进去,权限过大
如何安全地给 nginx 添加对 /data/www 的读取权限
不能简单加 httpd_sys_content_t,nginx 默认用 nginx_t 域,而 httpd_sys_content_t 是 Apache 的标签。正确路径是:先打标目录,再授权访问。用 semanage fcontext -a -t httpd_sys_content_t "/data/www(/.*)?" 注册上下文规则,再 restorecon -Rv /data/www 生效。如果 nginx 还要写日志或上传,得额外加 httpd_sys_rw_content_t 并允许写操作。
- 查当前路径标签:
ls -Z /data/www,确认输出中 type 字段是否匹配预期 -
semanage fcontext -l | grep www可查已注册规则,避免重复添加 - 如果 nginx 是非标准端口(如 8080),还需
semanage port -a -t http_port_t -p tcp 8080,否则 bind 会被拒 - 不要用
chcon -Rt httpd_sys_content_t /data/www临时改:重启后失效,且绕过 semanage 规则管理,后续restorecon会把它打回原形
SELinux 策略调优真正的难点不在命令怎么敲,而在理解每个 type 对应的实际进程边界、以及 class 和 perm 在具体 syscall 层面的映射。一个 read 权限背后可能是 open/read/mmap 的组合,漏掉任一环节,日志里就只显示 “denied { read }”,看不出到底是哪个动作卡住的。
