SELinux策略配置实践:从默认策略到自定义规则的完整迁移过程
在一次系统安全加固项目中,我们面临一个典型的SELinux策略迁移挑战。最初系统使用默认的enforcing模式,但发现某些关键服务无法正常启动。
问题复现步骤
- 查看当前SELinux状态:
getenforce # 输出:Enforcing - 检查拒绝日志:
grep avc /var/log/audit/audit.log | head -n 5 - 发现典型拒绝记录:
type=AVC msg=audit(1640995200.123:456): avc: denied { name_bind } for pid=1234 comm="nginx" src=80 dest=80 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:unconfined_t:s0 tclass=tcp_socket
解决方案
我们采用了分步迁移策略,首先创建自定义策略模块:
-
生成策略模块:
# 临时禁用SELinux测试 setenforce 0 # 重启服务验证 systemctl restart nginx # 启用SELinux setenforce 1 -
创建自定义策略文件:
# 使用audit2allow生成规则 audit2allow -a -M mynginx # 安装模块 semodule -i mynginx.pp -
验证配置:
# 查看模块状态 semodule -l | grep mynginx # 测试服务 systemctl status nginx
实战建议
对于生产环境,建议先在测试环境完整验证策略迁移,避免直接在生产服务器上操作。
附录:常见错误排查
- 误删核心模块导致系统无法启动
- 策略规则过于宽松,违背最小权限原则
讨论