在Linux系统安全实践中,SELinux策略调试是保障系统安全的重要环节。当遇到策略冲突时,sealert工具能快速定位问题根源。
问题场景
某企业服务器出现应用程序无法访问特定文件的异常情况。通过sealert -a /var/log/audit/audit.log命令分析,发现大量avc: denied错误信息,具体为type=AVC msg=audit(1634567890.123:456): denied。
调试步骤
- 收集审计日志:
# 查看最近的SELinux拒绝日志
ausearch -m avc -ts recent
- 使用sealert分析:
# 分析完整审计日志
sealert -a /var/log/audit/audit.log
# 或者针对特定PID
sealert -p -s 12345
- 查看详细策略信息:
# 检查相关SELinux策略模块
semodule -l | grep httpd
# 查看策略定义文件
seinfo -t -x httpd_t
实际案例
某Web应用在执行/var/www/html/uploads目录写入时被拒绝,通过sealert输出发现:
SELinux is preventing /usr/sbin/httpd from write access on the directory /var/www/html/uploads.
*** Policy disallows this access. ***
解决方法是创建自定义策略模块:
# 生成策略模块
semanage fcontext -a -t httpd_exec_t "/var/www/html/uploads(/.*)?"
restorecon -R /var/www/html/uploads
预防措施
建议定期运行sealert -a检查,设置自动化告警机制,并建立SELinux策略变更的版本控制流程。
讨论