Linux如何检查SELinux策略生效情况_LinuxSELinux排查工具

使用sestatus命令查看SELinux是否启用及运行模式，enforcing表示策略生效；2. 用getenforce快速获取当前模式；3. 通过sestatus -b或getsebool检查布尔值配置；4. 分析/var/log/audit/audit.log中“avc: denied”日志确认策略拒绝行为，结合ausearch或aureport工具高效排查。

要确认SELinux策略是否生效，核心是检查其运行状态和策略模式，并结合日志分析实际执行情况。直接使用sestatus命令是最快的方法，它能一次性展示关键信息。

查看SELinux整体状态 (sestatus)

这是最全面的检查方式，能立刻了解SELinux是否启用及其工作模式。

• 基本状态：在终端执行 sestatus。如果输出中 "SELinux status" 为 "enabled"，则表示SELinux已开启。
• 运行模式：关注 "Current mode" 字段。
  • enforcing：强制模式，策略正在严格执行，会阻止违规操作。这是生产环境的推荐状态。
  • permissive：宽容模式，策略仅记录违规行为但不阻止，常用于排错或测试。
  • disabled：禁用状态，SELinux完全不工作。
• 加载的策略：查看 "Loaded policy name" 字段。通常应为 "targeted"，表示只对特定网络服务进行保护，这是最常见的配置。

快速获取当前模式 (getenforce)

当你只需要知道SELinux当前是强制、宽容还是关闭时，这个命令更简洁。

• 直接在终端输入 getenforce。
• 命令会直接返回三种结果之一：Enforcing、Permissive 或 Disabled，无需解析复杂输出。

检查策略规则开关 (布尔值)

SELinux包含许多可配置的规则开关（称为布尔值），它们可以微调策略，例如允许或禁止httpd服务访问网络。

MagicStudio

图片处理必备效率神器！为你的图片提供神奇魔法

102

查看详情

• 使用 sestatus -b 命令，可以列出所有当前加载的布尔值及其开关状态（on/off）。
• 例如，若要确认FTP匿名用户上传功能是否被SELinux允许，可以查找 ftpd_anon_write 这个布尔值是否为 on。
• 也可以用 getsebool -a | grep ftp 来筛选查看与特定服务相关的布尔值。

分析SELinux拒绝日志

即使SELinux处于enforcing模式，系统服务仍可能因权限问题而失败。查看日志是判断问题是否由SELinux策略引起的关键。

• 定位日志：主要日志文件位于 /var/log/audit/audit.log。如果没有安装审计服务，则可能在 /var/log/messages 中。
• 查找拒绝记录：搜索包含 "avc: denied" 的条目。这些记录详细说明了哪个进程（scontext）试图对哪个文件或端口（tcontext）执行何种操作（如read, write）时被拒绝。
• 解读日志：利用 ausearch -m avc -ts recent 查看最近的拒绝事件，或用 aureport -m avc 生成摘要报告，这比直接翻看原始日志更高效。

基本上就这些。通过组合使用这几个工具，就能准确掌握SELinux策略的生效和执行情况。

以上就是Linux如何检查SELinux策略生效情况_LinuxSELinux排查工具的详细内容，更多请关注php中文网其它相关文章！