centos selinux怎么排查问题

CentOS排查SELinux问题可按以下步骤进行：

1. 查看SELinux状态
   • 使用getenforce或sestatus确认是否启用及当前模式（Enforcing/Permissive/Disabled）。
2. 分析日志
   • 查看/var/log/audit/audit.log，用ausearch -m avc过滤SELinux拒绝记录，或通过sealert -a /var/log/audit/audit.log获取可读分析及修复建议。
3. 临时调整模式
   • 用setenforce 0切换为Permissive模式（仅记录违规，不阻止操作），验证是否为SELinux导致的问题。
4. 检查上下文与权限
   • 用ls -Z查看文件/目录的SELinux上下文，用chcon或restorecon修正错误上下文。
   • 检查端口、用户等上下文是否正确，如semanage port -l查看端口策略。
5. 调整策略
   • 用audit2allow根据日志生成自定义策略模块，加载后生效：
     audit2allow -a -M mypolicy && semodule -i mypolicy.pp。
6. 永久修改配置
   • 编辑/etc/selinux/config，将SELINUX设为disabled或permissive，重启生效。

注意：生产环境谨慎永久禁用，优先通过策略调整解决问题。