如何诊断CentOS SELinux相关问题

诊断CentOS SELinux相关问题可按以下步骤进行：

1. 查看SELinux状态
   • 使用getenforce或sestatus命令确认是否启用及当前模式（Enforcing/Permissive/Disabled）。
2. 检查SELinux日志
   • 查看/var/log/audit/audit.log，用ausearch -m avc过滤出拒绝事件，或通过sealert -a /var/log/audit/audit.log获取可读的分析报告。
3. 分析并修复权限问题
   • 若日志显示“avc: denied”，使用audit2allow生成自定义策略模块，或通过chcon/restorecon调整文件/目录上下文。
   • 示例：sudo ausearch -m avc | audit2allow -M mypolicy，再执行semodule -i mypolicy.pp安装策略。
4. 临时/永久调整SELinux模式
   • 临时切换模式：sudo setenforce 0（Permissive）或1（Enforcing）。
   • 永久修改：编辑/etc/selinux/config，设置SELINUX=disabled/permissive/enforcing并重启。
5. 管理策略与上下文
   • 使用semanage管理端口、文件上下文等，如semanage port -a -t http_port_t -p tcp 8080添加端口规则。
   • 用ls -Z查看文件/目录上下文，restorecon -R恢复默认上下文。
6. 使用辅助工具
   • 安装setroubleshoot，通过sealert命令获取问题解决方案。

注意：修改前建议备份重要数据，复杂问题可参考官方文档或联系专业人员。