SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭

封面图 • 2025-10-21 • Linux

SELinux（Security-Enhanced Linux）是 Linux 系统中的一种安全机制，用于实现细粒度的访问控制。它有三种主要运行模式：

---

### 1. **Enforcing 模式（强制模式）**
- **作用**：SELinux 会强制执行安全策略，对所有操作进行检查和限制。
- **适用场景**：生产环境、安全要求高的系统。
- **特点**：
  - 所有违反策略的行为都会被阻止。
  - 如果发生违规行为，系统日志（如 `/var/log/audit/audit.log`）中会有记录。

---

### 2. **Permissive 模式（宽容模式）**
- **作用**：SELinux 不会阻止任何操作，但仍然会记录违规行为。
- **适用场景**：调试 SELinux 策略问题时使用。
- **特点**：
  - 允许所有操作，但会记录哪些操作被 SELinux 阻止了。
  - 适合排查权限问题或测试策略。

---

### 3. **Disabled 模式（关闭）**
- **作用**：完全禁用 SELinux。
- **适用场景**：某些应用可能不兼容 SELinux，或者系统管理员决定不使用 SELinux。
- **特点**：
  - SELinux 不再生效，系统不再进行基于策略的安全控制。
  - 不建议在生产环境中使用，因为失去了 SELinux 提供的安全保护。

---

## 如何查看当前 SELinux 状态？

```bash
sestatus
```

输出示例：

```
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux policy version:         30
Mode:                           enforcing
```

---

## 如何临时切换 SELinux 模式？

### 切换到 Permissive 模式（临时）

```bash
sudo setenforce 0
```

### 切换到 Enforcing 模式（临时）

```bash
sudo setenforce 1
```

> ⚠️ 注意：这种切换是临时的，重启后会恢复为配置文件中的设置。

---

## 如何永久更改 SELinux 模式？

编辑 `/etc/selinux/config` 文件：

```bash
sudo vi /etc/selinux/config
```

找到并修改以下行：

```ini
# SELINUX= can be: enforcing, permissive, or disabled
SELINUX=enforcing
```

- `enforcing`：强制模式
- `permissive`：宽容模式
- `disabled`：关闭 SELinux

保存文件后，**重启系统**使更改生效。

---

## 总结

| 模式        | 是否启用 SELinux | 是否阻止违规操作 | 是否记录违规操作 | 适用场景         |
|-------------|------------------|------------------|------------------|------------------|
| Enforcing   | 是               | 是               | 是               | 生产环境         |
| Permissive  | 是               | 否               | 是               | 调试             |
| Disabled    | 否               | 否               | 否               | 特殊需求（不推荐） |

如果你需要进一步帮助（比如如何修复 SELinux 报错），可以继续提问！