selinux报错主因是模式与配置不匹配,非策略错误;应先用getenforce确认模式,调试时切permissive模式并查audit.log,再通过ls -z、chcon/semanage调整上下文,或用setsebool开启对应布尔值。
SELinux 为什么一开就报错?先看模式再动策略
绝大多数 SELinux 权限问题,根本不是策略写错了,而是当前运行在 enforcing 模式下强行硬扛——而你的系统还没打上合适的标签,也没打开对应布尔值。别急着写 .te 文件,先确认模式:getenforce 返回 Enforcing 就是“正在拦你”,不是“你写错了”。
- 开发/调试阶段务必先切到
permissive模式:sudo setenforce 0(临时)或改/etc/selinux/config中的SELINUX=permissive(永久,需重启) -
permissive不拦截,但会把所有被拒操作记进/var/log/audit/audit.log——这才是你调策略的原始依据 - 直接
setenforce 1后服务起不来?八成是上下文没对或布尔开关关着,不是策略缺失
文件访问被拒?先查 ls -Z,再用 chcon 或 semanage fcontext
比如你把一个自定义脚本扔进 /usr/local/bin,结果 systemd 启动失败,日志里一堆 avc: denied ——大概率是这个文件继承了父目录的类型(如 bin_t),但你的服务域(比如 httpd_t)根本没被允许执行它。
- 用
ls -Z /path/to/file看安全上下文,重点比对第三段(type),比如system_u:object_r:httpd_exec_t:s0才是 Web 服务能执行的二进制类型 - 临时修复用
chcon -t httpd_exec_t /path/to/file,但重启后可能失效(因为没进文件上下文数据库) - 永久生效必须走
semanage fcontext:例如sudo semanage fcontext -a -t httpd_exec_t '/usr/local/bin/myscript(/.*)?',再sudo restorecon -Rv /usr/local/bin/myscript
服务连不上端口、读不了配置?先查布尔值,别急着改策略
SELinux 对服务的限制,80% 以上靠布尔值(booleans)开关控制,而不是重写整个策略模块。比如 FTP 匿名上传失败,ftp_home_dir 和 ftpd_anon_write 这两个布尔值默认都是 off,setsebool -P ftpd_anon_write on 就能解决,完全不用碰策略源码。
- 列出所有布尔值及其状态:
getsebool -a或sestatus -b - 搜索关键词:
getsebool -a | grep ftp、getsebool -a | grep httpd - 开启并永久保存:
setsebool -P httpd_can_network_connect_db on(注意-P参数,否则重启失效) - 常见陷阱:开了
httpd_can_network_connect却忘了开httpd_can_network_connect_db,结果 PHP 连 mysql 还是被拦
audit.log 里一堆 avc denied?用 audit2why 和 audit2allow 快速定位
日志里看到 avc: denied { read } for pid=1234 comm="nginx" name="config.conf" dev="sda1" ino=56789 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file ——这行本身已经告诉你谁(httpd_t)、想干什么(read)、被谁拦(admin_home_t)。没必要手动翻译。
- 快速解释原因:
sudo audit2why - 生成最小策略模块(慎用):
sudo ausearch -m avc -ts recent | audit2allow -M mynginxfix,然后sudo semodule -i mynginxfix.pp - ⚠️ 注意:
audit2allow生成的是“放行所有被拒行为”的策略,不是最小权限;生产环境建议人工审阅mynginxfix.te再编译
SELinux 的复杂性不在语法,而在它的决策是叠加式的:DAC 先过,MAC 再拦;上下文要对,布尔值要开,类型规则还得准。最容易被忽略的,是忘记 restorecon 刷新上下文,或者以为 chcon 一次就一劳永逸——其实它只改 inode,不进策略数据库。