在Linux系统安全实践中,SELinux策略冲突是常见的问题。本文分享一个典型的SELinux策略调试案例,通过sealert工具定位并解决策略冲突。
问题场景:某企业服务器启用SELinux后,Web服务无法访问特定目录,错误日志显示"avc: denied"。
复现步骤:
- 查看系统日志:
grep avc /var/log/messages - 使用sealert分析:
sealert -a /var/log/audit/audit.log - 生成策略模块:
sealert -l 130000
具体操作:
# 查看SELinux状态
sestatus
# 分析审计日志
sealert -a /var/log/audit/audit.log
# 生成允许策略
sealert -l 130000 > mypolicy.te
解决方法: 通过sealert输出的建议,创建自定义策略模块并加载。例如,针对web访问目录的策略冲突,可添加:
# 在mypolicy.te中添加
allow httpd_t varnishd_t:dir { read search };
验证机制:使用semodule -l | grep mypolicy确认模块已加载,并通过audit2allow -a /var/log/audit/audit.log生成完整策略建议。
该方法可有效排查复杂SELinux策略冲突,为系统管理员提供实用的调试路径。
讨论