RockyLinux SELinux完全入门（新手也能轻松掌握的SELinux基础概念与使用教程）

SELinux 的三种工作模式

SELinux 有三种运行模式，理解它们是掌握 SELinux 入门指南 的第一步：

• enforcing（强制模式）：SELinux 策略生效，拒绝违反规则的操作并记录日志。
• permissive（宽容模式）：SELinux 不阻止任何操作，但会将违规行为记录到日志中，适合调试。
• disabled（禁用模式）：SELinux 完全关闭（不推荐，会降低系统安全性）。

查看和切换 SELinux 模式

你可以使用以下命令查看当前 SELinux 状态：

$ sestatus

输出示例：

SELinux status:                 enabledSELinuxfs mount:                /sys/fs/selinuxSELinux root directory:         /etc/selinuxLoaded policy name:             targetedCurrent mode:                   enforcingMode from config file:          enforcingPolicy MLS status:              enabledPolicy deny_unknown status:     allowedMax kernel policy version:      33

要临时切换到 permissive 模式（重启后恢复），可运行：

$ sudo setenforce 0

切换回 enforcing 模式：

$ sudo setenforce 1

若要永久修改模式，需编辑配置文件 /etc/selinux/config：

# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:#     enforcing - SELinux security policy is enforced.#     permissive - SELinux prints warnings instead of enforcing.#     disabled - No SELinux policy is loaded.SELINUX=enforcing# SELINUXTYPE= can take one of these three values:#     targeted - Targeted processes are protected,#     minimum - Modification of targeted policy. Only selected processes are protected.#     mls - Multi Level Security protection.SELINUXTYPE=targeted

⚠️ 注意：修改 /etc/selinux/config 后需要重启系统才能生效。

常见问题与解决思路

当你部署 Web 服务（如 Apache）或自定义应用时，可能会遇到“Permission denied”错误，而文件权限看起来完全正常。这时很可能是 SELinux 在阻止访问。

排查步骤：

1. 检查 SELinux 是否处于 enforcing 模式。
2. 查看审计日志：sudo ausearch -m avc -ts recent 或 sudo grep denied /var/log/audit/audit.log。
3. 使用 sealert 工具分析日志（需安装 setroubleshoot-server 包）。
4. 根据建议修复上下文或添加策略规则。

例如，为 Web 目录设置正确的 SELinux 上下文：

$ sudo semanage fcontext -a -t httpd_sys_content_t "/myweb(/.*)?"$ sudo restorecon -Rv /myweb

总结

SELinux 虽然初看复杂，但它是 RockyLinux 系统安全的基石。通过本篇 RockyLinux SELinux 基础教程，你应该已经掌握了 SELinux 的基本概念、工作模式、状态查看与切换方法，以及常见问题的排查思路。

记住：不要轻易禁用 SELinux！学会与它“合作”，你的系统将更加安全可靠。继续深入学习 RockyLinux 安全策略 和 SELinux 入门指南，你将成为一名更专业的 Linux 用户。