0

0

麒麟OS怎么配置SELinux策略_麒麟OS强制访问控制教程【策略】

尼克

尼克

发布时间:2026-02-23 20:46:03

|

256人浏览过

|

来源于php中文网

原创

在麒麟os服务器版中实施细粒度访问约束需启用selinux强制模式:先用sestatus和getenforce确认当前为permissive模式,再执行setenforce 1并修改/etc/selinux/config中selinux=enforcing,重启后验证;接着加载自定义策略模块(如mynginx.pp),调整文件与进程安全上下文(如httpd_sys_content_t),配置布尔值(如httpd_read_user_content on),最后通过ausearch和audit2allow审计排查avc拒绝事件。

麒麟os怎么配置selinux策略_麒麟os强制访问控制教程【策略】

如果您在麒麟OS服务器版中需要实施细粒度的进程与文件访问约束,则必须启用并配置SELinux强制访问控制策略。以下是具体操作步骤:

一、确认SELinux当前状态与运行模式

SELinux在麒麟OS中默认以permissive模式运行,仅记录违规行为而不阻止执行,需切换至enforcing模式才能生效强制策略。该步骤用于验证内核是否已加载SELinux模块及当前策略执行级别。

1、执行sestatus命令,检查输出中“Current mode”字段值。

2、若显示为permissive,说明策略处于告警状态,尚未启用强制拦截能力。

3、运行getenforce确认当前运行模式,返回Permissive即表示未激活强制控制。

二、启用SELinux强制模式并持久化配置

临时启用可快速验证策略效果,但系统重启后会恢复默认状态;永久生效需修改配置文件,确保安全策略在每次启动时自动加载。

1、执行sudo setenforce 1将运行模式切换为enforcing。

2、编辑/etc/selinux/config文件:sudo vim /etc/selinux/config

3、将SELINUX=行后的值修改为enforcing,保存退出。

4、重启系统后再次运行getenforce,确认返回结果为Enforcing

三、加载自定义SELinux策略模块

麒麟OS预置基础策略(targeted),但针对特定业务服务(如Nginx、PostgreSQL)需加载专用策略模块,否则相关进程可能因标签缺失被拒绝访问资源。

1、确认目标服务是否已有对应策略包:seinfo -a boolean -x | grep nginx(以nginx为例)。

2、若无输出,需安装策略模块:sudo yum install selinux-policy-devel policycoreutils-python-utils

3、使用audit2allow从审计日志生成策略规则:sudo ausearch -m avc -ts recent | audit2allow -M mynginx

4、编译并加载新模块:sudo semodule -i mynginx.pp

5、验证模块已注册:sudo semodule -l | grep mynginx,返回模块名即表示加载成功。

四、调整文件与进程的安全上下文标签

SELinux依据安全上下文(user:role:type:level)裁决访问请求,若文件或进程标签不匹配策略规则,将触发拒绝。需手动修正关键路径与服务进程的上下文。

Dreamina
Dreamina

字节跳动推出的AI绘画工具,用简单的文案创作精美的图片

下载

1、查看目标目录当前上下文:ls -Z /var/www/html

2、若type字段非httpd_sys_content_t,执行sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"

3、应用上下文变更:sudo restorecon -Rv /var/www/html

4、检查Nginx主进程上下文:ps -eZ | grep nginx,确保其type为httpd_t

5、若进程标签异常,重启服务使SELinux重新标记:sudo systemctl restart nginx

五、配置布尔值开关启用弹性策略

SELinux布尔值提供运行时策略微调能力,无需修改底层规则即可开启/关闭特定访问权限,适用于调试阶段或临时业务需求。

1、列出所有可用布尔值及其当前状态:getsebool -a | grep httpd

2、启用HTTPD读取用户主目录权限:sudo setsebool -P httpd_read_user_content on

3、允许HTTPD发起网络连接(如反向代理场景):sudo setsebool -P httpd_can_network_connect on

4、验证变更生效:getsebool httpd_read_user_content,返回on即表示已激活。

六、审计与排查SELinux拒绝事件

当服务异常中断且日志中出现“Permission denied”时,极可能由SELinux拦截导致。需解析审计日志定位具体拒绝原因,并生成针对性修复方案。

1、实时监控AVC拒绝事件:sudo ausearch -m avc -ts recent --raw | audit2why

2、提取最近10条拒绝记录:sudo ausearch -m avc -ts today -i | head -n 10

3、定位触发进程与目标文件:sudo ausearch -m avc -ts recent -i | grep -E "(comm=|path=)"

4、生成临时修复建议:sudo ausearch -m avc -ts recent | audit2allow -w

5、若需立即放行某类操作(仅限测试环境):sudo setenforce 0,但此操作将完全禁用SELinux强制控制,严禁在生产环境执行

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
nginx 重启
nginx 重启

nginx重启对于网站的运维来说是非常重要的,根据不同的需求,可以选择简单重启、平滑重启或定时重启等方式。本专题为大家提供nginx重启的相关的文章、下载、课程内容,供大家免费下载体验。

240

2023.07.27

nginx 配置详解
nginx 配置详解

Nginx的配置是指设置和调整Nginx服务器的行为和功能的过程。通过配置文件,可以定义虚拟主机、HTTP请求处理、反向代理、缓存和负载均衡等功能。Nginx的配置语法简洁而强大,允许管理员根据自己的需要进行灵活的调整。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

518

2023.08.04

nginx配置详解
nginx配置详解

NGINX与其他服务类似,因为它具有以特定格式编写的基于文本的配置文件。本专题为大家提供nginx配置相关的文章,大家可以免费学习。

567

2023.08.04

tomcat和nginx有哪些区别
tomcat和nginx有哪些区别

tomcat和nginx的区别:1、应用领域;2、性能;3、功能;4、配置;5、安全性;6、扩展性;7、部署复杂性;8、社区支持;9、成本;10、日志管理。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

243

2024.02.23

nginx报404怎么解决
nginx报404怎么解决

当访问 nginx 网页服务器时遇到 404 错误,表明服务器无法找到请求资源,可以通过以下步骤解决:1. 检查文件是否存在且路径正确;2. 检查文件权限并更改为 644 或 755;3. 检查 nginx 配置,确保根目录设置正确、没有冲突配置等等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

564

2024.07.09

Nginx报404错误解决方法
Nginx报404错误解决方法

解决方法:只需要加上这段配置:try_files $uri $uri/ /index.html;即可。想了解更多Nginx的相关内容,可以阅读本专题下面的文章。

3606

2024.08.07

nginx部署php项目教程汇总
nginx部署php项目教程汇总

本专题整合了nginx部署php项目教程汇总,阅读专题下面的文章了解更多详细内容。

51

2026.01.13

nginx配置文件详细教程
nginx配置文件详细教程

本专题整合了nginx配置文件相关教程详细汇总,阅读专题下面的文章了解更多详细内容。

67

2026.01.13

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

1127

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.6万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号