CentOS中SELinux文件访问控制

CentOS中SELinux通过强制访问控制（MAC）限制文件访问，核心机制包括：

• 安全上下文：为文件、进程分配用户:角色:类型:级别标签，如system_u:object_r:httpd_sys_content_t:s0，决定访问权限。
• 域-类型模型：进程运行在特定“域”（如httpd_t），仅能访问对应“类型”的文件（如httpd_sys_content_t），访问规则由策略定义。
• 策略类型：
  • Targeted（默认）：仅保护关键服务（如HTTP、SSH）。
  • Strict：全面保护系统，限制所有进程。
• 操作模式：
  • Enforcing：强制执行策略，拒绝违规访问并记录日志。
  • Permissive：仅记录违规，不阻止操作，用于调试。
  • Disabled：关闭SELinux（需重启生效）。
• 常用命令：
  • 查看状态：getenforce（模式）、sestatus（详细信息）。
  • 修改文件上下文：chcon（临时）、semanage fcontext + restorecon（永久）。
  • 调整布尔值：setsebool（如允许httpd访问用户目录httpd_enable_homedirs）。
• 日志监控：通过/var/log/audit/audit.log查看被拒绝的访问行为，辅助策略调整。

注意：修改策略前需备份重要数据，复杂场景建议通过audit2allow工具生成自定义策略模块。