SELinux常见安全上下文问题
安全上下文是SELinux实现细粒度访问控制的核心,常见故障集中在上下文类型不匹配或恢复异常。例如,Apache无法访问/var/www/html下的文件(DAC权限正常但提示“Permission denied”),多因文件类型未设置为httpd_sys_content_t;移动文件(mv命令)后,文件保留原上下文,导致目标目录无法访问,需用restorecon -Rv恢复目标目录的默认上下文。解决此类问题需通过ls -Z查看上下文,用chcon临时修改(如chcon -t httpd_sys_content_t /path/to/file),或用semanage fcontext永久添加规则(如semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?")后恢复。
SELinux模式设置错误
SELinux有Enforcing(强制)、Permissive(宽容)、Disabled(关闭)三种模式,模式配置错误会导致系统异常。常见错误包括:误将/etc/selinux/config中的SELINUX=enforcing改为SELINUX=disabled(未用selinux=0临时引导),导致系统无法启动;或在GRUB中错误修改SELINUXTYPE为disabled(应为targeted/minimum/mls)。解决方法是:启动时按E进入GRUB编辑,在linux行末尾添加selinux=0临时禁用,进入系统后修改配置文件(如SELINUX=permissive),并重启生效。
应用程序/服务访问被拦截
应用程序(如Apache、SSH)无法访问网络、文件或启动,多为SELinux策略限制。例如,Apache无法监听8080端口(非默认http_port_t),需用semanage port -a -t http_port_t -p tcp 8080添加端口标签;SSH反向隧道失败,可能是httpd_can_network_connect布尔值未开启,需用setsebool -P httpd_can_network_connect=1允许网络连接。排查时可通过getsebool -a | grep service_name查看相关布尔值,用ausearch -m avc分析日志定位具体拦截规则。
SELinux日志分析与自定义策略生成
当出现“AVC denied”(访问控制拒绝)错误时,需通过日志定位问题。SELinux日志通常位于/var/log/audit/audit.log,用grep "AVC denied" /var/log/audit/audit.log过滤相关记录;或用ausearch -m avc -ts recent实时查看。分析日志后,用audit2allow工具生成自定义策略:audit2allow -a生成允许规则,audit2allow -a -M myrule创建策略模块(.te文件),再用semodule -i myrule.pp加载模块(永久生效)。注意:自定义策略需谨慎,避免过度放权。
端口/设备节点标签问题
服务需使用非标准端口(如Tomcat用8080)或访问设备节点(如/dev/sda)时,可能因标签未正确设置被拦截。例如,Tomcat无法监听8080端口,需用semanage port -a -t http_port_t -p tcp 8080添加端口标签;应用程序无法访问/dev/sda,需用ls -Z /dev/sda查看设备节点标签,若标签不正确,用chcon -t device_t /dev/sda修改(临时),或通过semanage fcontext永久设置。解决此类问题需明确服务所需的端口/设备标签,用对应命令调整。
SELinux启动失败
SELinux无法启动的常见原因包括:配置文件错误(如SELINUX=disabled拼写错误)、系统资源不足(内存/CPU/磁盘空间不足)、日志文件损坏。解决步骤:首先用sestatus确认SELinux状态,用ausearch -m avc -ts recent查看日志中的错误信息;若配置错误,进入单用户模式(重启时按E修改GRUB,添加selinux=0),修改/etc/selinux/config中的SELINUX参数(如enforcing),并重启;若资源不足,清理系统(如删除旧日志、释放内存)后重启。