Ubuntu中SELinux如何进行故障排查

Ubuntu中排查SELinux故障可按以下步骤进行：

1. 查看SELinux状态：用getenforce或sestatus命令确认是否启用及模式（Enforcing/Permissive/Disabled）。
2. 检查SELinux日志：通过ausearch -m avc -ts recent或grep -i "denied" /var/log/audit/audit.log搜索拒绝记录，分析被阻止的操作。
3. 解析错误原因：用audit2why工具解释日志中的拒绝信息，判断是否因策略限制。
4. 调整策略或上下文
   • 临时修改上下文：用chcon命令调整文件/目录的安全上下文。
   • 恢复默认上下文：用restorecon命令重置上下文。
   • 创建自定义策略：通过audit2allow生成策略模块并加载（-M生成模块，semodule -i安装）。
5. 临时/永久修改模式：
   • 临时切换：sudo setenforce 0（Permissive模式，仅记录不阻止）。
   • 永久修改：编辑/etc/selinux/config，将SELINUX设为disabled并重启。
6. 使用辅助工具：
   • setroubleshoot：分析日志并提供可视化解决方案。
   • sealert：诊断SELinux问题并给出建议。
7. 验证配置：修改后重启服务或系统，确认问题是否解决。

注意：操作前建议备份重要数据，复杂策略修改需谨慎，可参考官方文档或社区资源。