熟悉SELinux的三种工作模式

SELinux（Security-Enhanced Linux）作为Linux系统的强制访问控制（MAC）安全模块，有三种核心工作模式，每种模式对系统安全策略的执行力度不同。以下是详细说明：

1. Enforcing（强制模式）

• 行为：完全启用SELinux安全策略，所有访问请求都会根据策略规则进行强制检查，违反策略的操作将被拒绝并记录日志。
• 典型场景：生产环境推荐模式，提供最高级别的安全保护。
• 日志记录：拒绝事件会记录到/var/log/audit/audit.log（默认路径）。
• 示例命令： bash sudo setenforce 1 # 临时切换到Enforcing模式

2. Permissive（宽容模式）

• 行为：仅记录违规行为而不阻止操作。所有违反策略的操作会被允许，但会在日志中标记。
• 用途：
  • 调试SELinux策略问题。
  • 新策略部署前的兼容性测试。
• 日志路径：与Enforcing模式相同，但不会实际阻止操作。
• 示例命令： bash sudo setenforce 0 # 临时切换到Permissive模式

3. Disabled（禁用模式）

• 行为：完全关闭SELinux，不加载任何策略，所有访问控制仅依赖传统DAC（如文件权限）。
• 注意：
  • 从Disabled切换回Enforcing/Permissive需重启系统（因策略需重新初始化）。
  • 禁用后可能遗留文件安全上下文不一致问题，恢复时需执行fixfiles relabel。
• 配置方法： 修改/etc/selinux/config文件，设置： ini SELINUX=disabled

模式切换与管理

1. 临时切换（重启后失效）：

   sudo setenforce 1  # Enforcing
   sudo setenforce 0  # Permissive
   

2. 永久配置： 编辑/etc/selinux/config，修改SELINUX=参数为enforcing、permissive或disabled，然后重启生效。

3. 状态检查：

   getenforce          # 查看当前模式
   sestatus            # 显示详细状态（包括策略类型）
   

模式选择建议

• 生产服务器：优先使用Enforcing，确保安全。
• 故障排查：临时切至Permissive观察日志，避免服务中断。
• 彻底禁用：仅在确认SELinux导致不可解决的问题时使用，并尽快重新启用。

常见问题

• 服务异常：若Enforcing模式下服务失败，可通过audit2allow生成新规则或使用sealert分析日志。
• 文件标签重置：禁用后重新启用时，执行： bash touch /.autorelabel && reboot

掌握这三种模式的特点和切换方法，能有效平衡系统安全性与灵活性。