调试SELinux：RHCSA认证必知必会（第十二部分）

1. SELinux简介

SELinux是一个基于策略的访问控制系统，通过强制访问控制（MAC）增强Linux安全。在Red Hat Enterprise Linux中，它默认启用，为RHCSA认证必备知识。理解SELinux有助于防止未授权访问，提升系统安全性。

2. 管理SELinux运行模式

SELinux有三种运行模式，用于控制策略执行：

• 强制模式（Enforcing）：SELinux主动拒绝违规访问，提供最高安全。
• 许可模式（Permissive）：仅记录违规日志，不阻止访问，用于调试。
• 禁用模式（Disabled）：完全关闭SELinux，不推荐生产使用。

使用命令getenforce查看当前模式，setenforce 0（切换为Permissive）或setenforce 1（切换为Enforcing）临时更改。永久修改需编辑/etc/selinux/config文件，设置SELINUX=enforcing或permissive。

3. 管理SELinux安全策略

SELinux的安全策略定义了访问规则，常见类型包括：

• targeted：默认策略，保护关键服务（如Web、数据库）。
• minimum：最小化保护，适用于低风险环境。
• mls：多级安全策略，用于军事或高安全需求。

使用sestatus查看当前策略。更改策略需编辑/etc/selinux/config中的SELINUXTYPE=targeted，并重启系统。这是RHCSA认证中的常见考点。

4. 管理SELinux端口标签

SELinux为网络端口分配标签，以控制服务访问。例如，HTTP服务默认使用端口80（标签http_port_t）。若更改端口，需更新标签。

使用semanage port -l列出端口标签。添加标签命令如：semanage port -a -t http_port_t -p tcp 8080，将端口8080标记为HTTP端口。这对于SELinux调试和RHCSA实践至关重要。

5. 管理SELinux上下文策略

上下文策略定义了文件、进程和用户的安全标签，格式为user:role:type:level。例如，Web文件应有httpd_sys_content_t类型。

常用命令：ls -Z查看文件上下文，ps -Z查看进程上下文。更改上下文用chcon -t httpd_sys_content_t /var/www/html/file。永久管理使用semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"和restorecon -Rv /var/www/html。

6. 调试SELinux问题

当遇到访问控制问题时，调试步骤如下：首先，查看日志/var/log/audit/audit.log或使用sealert -a audit.log分析。其次，临时切换为许可模式测试。最后，使用audit2allow生成自定义策略模块。

7. 总结

本教程详细讲解了SELinux的运行模式、安全策略、端口和上下文管理，这些是RHCSA认证的核心内容。通过实践这些技巧，你可以有效调试SELinux，强化系统安全策略。记住，SELinux是Linux安全的重要组件，掌握它能为你的RHCSA认证和职业生涯加分。