Ubuntu SELinux如何调试问题 - 问答

Ubuntu 上 SELinux 调试步骤

一环境确认与启用

检查当前状态与模式：运行 getenforce 或 sestatus，确认是否为 Enforcing/Permissive/Disabled。若为 Disabled，需先安装并启用 SELinux。
安装与激活：
- 安装基础组件：sudo apt update && sudo apt install selinux-basics selinux-policy-default
- 激活并设定启动参数：sudo selinux-activate；必要时在 /etc/default/grub 的 GRUB_CMDLINE_LINUX_DEFAULT 中加入 security=selinux，然后更新 GRUB 并重启。
模式切换与持久化：
- 临时切换：sudo setenforce 0|1（仅在 Permissive/Enforcing 间切换；Disabled 需改配置并重启）。
- 永久生效：编辑 /etc/selinux/config 设置 SELINUX=enforcing|permissive|disabled，重启后生效。
提示：Ubuntu 默认不启用 SELinux，启用后可用 sestatus 再次确认。

二日志与审计采集

核心日志位置：SELinux 拒绝事件（AVC）通常写入 /var/log/audit/audit.log；如未生成，优先检查 auditd 是否运行。
启动审计服务：
- 安装与启动：sudo apt-get install auditd audispd-plugins
- 开机自启：sudo systemctl enable --now auditd
常用检索命令：
- 查看最近 AVC：sudo ausearch -m avc -ts recent
- 按时间范围：sudo ausearch -m avc -ts today
- 生成 SELinux 报告：sudo aureport -m selinux
若 auditd 暂不可用，可临时用 dmesg | grep -i denied 或查看 /proc/kmsg 捕获内核拒绝信息。

三定位与修复典型问题

读懂拒绝日志：从 ausearch 输出中识别关键字段，如 scontext（源上下文）、tcontext（目标上下文）、tclass（对象类）、perm（被拒权限），据此判断缺失的访问类型。
解释与生成策略建议：
- 安装分析工具：sudo apt-get install audit2why
- 分析原因：sudo ausearch -m avc -ts recent | audit2why（给出为何被拒及修复思路）
修复方式（按影响最小化原则）：
- 恢复正确上下文：优先使用 restorecon -Rv ；如确需手工设定可用 chcon -Rv --type= 。
- 端口类型：如 Web 服务需新端口，使用 semanage port -a -t http_port_t -p tcp 。
- 布尔开关：细粒度放行可用 getsebool/setsebool，例如 sudo setsebool -P httpd_enable_homedirs 1。
- 定制模块：对复杂场景用 audit2allow 生成策略模块，编译并加载：sudo checkmodule -M -m -o mymod.mod mymod.te && sudo semodule_package -o mymod.pp -m mymod.mod && sudo semodule -i mymod.pp。
验证：每次调整后重启相关服务并复现操作，确认 AVC 是否消失。

四快速排查清单

五注意事项

生产环境尽量保持在 Enforcing，排障可短时切 Permissive 验证，不建议长期 Disabled。
Ubuntu 对 SELinux 的支持相对有限，部分软件或模块可能缺少现成策略；遇到复杂问题可评估是否改用 RHEL/CentOS 等以获得更完善的 SELinux 生态。

0 赞

0 踩