Ubuntu SELinux如何进行故障排除

Ubuntu SELinux 故障排除实战指南

一 快速定位与最小复现

• 确认 SELinux 状态与模式：使用命令查看当前是否启用及其模式（Enforcing/Permissive/Disabled）。
• 仅用于验证的最小化手段：将系统切到Permissive（宽容模式）观察问题是否消失，若消失基本可判定与 SELinux 相关；验证完成后务必恢复到Enforcing。
• 注意前提：Ubuntu 默认使用 AppArmor 而非 SELinux，若你是在 Ubuntu 上手动启用了 SELinux，请先确认当前确实处于 SELinux 环境。
• 建议操作顺序：状态检查 → 宽容模式验证 → 恢复 enforcing → 进入日志与策略分析阶段。

二 日志与审计分析

• 核心日志位置：SELinux 拒绝事件以AVC记录，优先查看**/var/log/audit/audit.log**；若auditd未运行，相关信息可能落在**/var/log/messages**。
• 快速检索：
  • 查看最近的拒绝事件：grep -i “denied” /var/log/audit/audit.log
  • 使用审计工具汇总：ausearch -m avc -ts recent；aureport -m avc
• 确保审计服务可用：
  • 检查与启动：sudo systemctl status auditd（若未安装需先安装）；sudo systemctl start auditd && sudo systemctl enable auditd
• 辅助分析工具：
  • audit2why：解释为何被拒绝，并给出处理建议（如缺失的 TE allow 规则）。
  • audit2allow：基于日志生成可加载的策略模块草案（谨慎用于生产）。
  • sealert：生成可读性更强的诊断报告，常提示如 restorecon 等修复动作。

三 常见原因与修复动作

• 文件或目录标签错误（最常见）：使用ls -Z查看上下文，用restorecon按默认策略恢复；若某服务目录（如 /var/www 对 httpd）应为 httpd_sys_content_t 而被误标为 var_t，restorecon 通常即可修复。
• 进程以错误的域运行：用ps -eZ查看进程上下文，确认是否与服务预期域一致；不一致时优先纠正启动方式或上下文，而非直接放宽策略。
• 布尔值限制：部分服务行为受 SELinux 布尔值控制（如 httpd_enable_homedirs）。先核查再调整，避免不必要的权限放大。
• 策略缺失：当确认为策略缺口时，先用audit2allow生成草案，评估影响后在测试环境验证，再加载到生产。
• 谨慎使用宽容模式：宽容模式仅用于排查，切勿长期作为规避手段。

四 策略调整与验证

• 生成并应用最小策略草案：
  • 基于最近 AVC 生成模块：sudo ausearch -m avc -ts recent | audit2allow -M mypolicy
  • 查看草案内容：cat mypolicy.te（确认规则范围与权限）
  • 加载模块：sudo semodule -i mypolicy.pp
• 验证闭环：
  • 返回Enforcing模式：sudo setenforce 1
  • 复现问题并复查日志：ausearch -m avc -ts recent；必要时用 sealert 或 audit2why 复核。
• 回滚与灰度：如出现异常，卸载模块（semodule -r mypolicy）并恢复配置；策略变更建议灰度与回滚预案。

五 实用命令清单

• 状态与模式：getenforce；sestatus
• 模式切换：sudo setenforce 0（Permissive）；sudo setenforce 1（Enforcing）
• 上下文查看：ls -Z；ps -eZ
• 日志与审计：grep -i “denied” /var/log/audit/audit.log；ausearch -m avc -ts recent；aureport -m avc
• 修复与策略：restorecon -v /path；sudo ausearch -m avc -ts recent | audit2allow -M mypolicy；sudo semodule -i mypolicy.pp；audit2why；sealert -a /var/log/audit/audit.log