Ubuntu SELinux故障排查方法

Ubuntu SELinux故障排查方法如下：

1. 查看SELinux状态

   • 使用命令 getenforce 或 sestatus，显示当前模式（Enforcing/Permissive/Disabled）。
   • 检查配置文件 /etc/selinux/config，确认默认模式。

2. 查看SELinux日志

   • 主日志路径：/var/log/audit/audit.log，用 grep 'avc: denied' 过滤拒绝记录。
   • 使用工具 ausearch -m avc 查询特定事件，Aureport -m selinux 生成报告。

3. 分析并修复问题

   • 用 audit2why 解释日志中的拒绝原因，audit2allow 生成策略模块。
   • 调整文件/进程上下文：ls -Z 查看上下文，chcon 修改，restorecon 恢复默认。
   • 临时禁用：sudo setenforce 0（Permissive模式，仅记录不阻止）。
   • 永久修改：编辑 /etc/selinux/config，设置 SELINUX=disabled 并重启。

4. 使用辅助工具

   • setroubleshoot：分析日志并提供可视化建议（需安装）。
   • semanage：管理策略和上下文，如 semanage fcontext 修改目录上下文。

注意：Ubuntu对SELinux支持有限，部分功能可能不可用，复杂场景建议参考官方文档或社区论坛。