1. 检查SELinux当前状态
在启用SELinux前,需确认系统是否已安装SELinux及当前状态。使用以下命令查看:
sestatus
若输出显示“SELinux status: disabled”,则表示SELinux未启用;若显示“enabled”,则需进一步确认当前模式(如Enforcing/Permissive)。也可使用getenforce命令快速查看当前模式(返回Enforcing/Permissive/Disabled)。
2. 编辑SELinux配置文件(永久生效)
SELinux的永久配置通过/etc/selinux/config文件实现。使用文本编辑器(如vi/nano)打开该文件:
sudo vi /etc/selinux/config
找到SELINUX=字段,将其值从disabled(禁用)或permissive(宽容)修改为enforcing(强制)。示例如下:
SELINUX=enforcing
修改完成后,按Esc键退出编辑模式,输入:wq保存并关闭文件。
3. 处理文件系统重新标记(仅首次启用需执行)
若系统之前处于disabled状态,启用enforcing模式后,需重新标记系统文件的SELinux上下文(确保所有文件都有正确的安全标签)。执行以下命令创建自动重新标记触发文件:
sudo touch /.autorelabel
重启系统后,SELinux会自动扫描并标记所有文件。
4. 重启系统使配置生效
修改配置文件后,必须重启系统才能加载新的SELinux模式:
sudo reboot
重启过程中,系统会执行文件重新标记(若创建了/.autorelabel文件)。
5. 验证SELinux启用状态
系统重启后,使用以下命令确认SELinux是否已启用并处于enforcing模式:
sestatus
预期输出应包含:
SELinux status: enabled
Current mode: enforcing
或使用getenforce命令快速验证:
getenforce
返回Enforcing则表示启用成功。
注意事项
permissive(不强制执行但记录违规)排查问题,确认无误后再切回enforcing。enforcing模式,以最大化系统安全性;permissive模式仅用于调试。
