getenforce Enforcing 但服务正常运行的 boolean 误关排查

Enforcing 状态下服务正常运行不代表 SELinux 策略未生效，而是 boolean 开关与实际访问路径的类型、进程域不匹配，需结合 audit 日志、ls -Z、ps -eZ 和 restorecon 综合排查。

getenforce 返回 Enforcing 但服务照常运行，说明 SELinux 策略没真正生效？

不是策略没生效，而是你可能在用 setsebool 关闭了某个 boolean，但该 boolean 实际上并不控制当前服务的行为路径。SELinux 的 boolean 是按策略模块粒度开关的，不是“全局开关”，关掉一个 boolean 不等于关掉所有限制。

常见错误现象：getenforce 显示 Enforcing，systemctl start httpd 成功，但访问页面 503 或日志里反复出现 avc: denied；或者某服务突然无法读取特定目录，但 ls -Z 看上下文又“看起来没问题”。

• 先确认具体被拒操作：查 /var/log/audit/audit.log，过滤 avc.*denied，重点看 comm=（进程名）、path=（目标路径）、tclass=（资源类型，如 file/dir/socket）
• 别只信 getsebool -a | grep xxx —— 很多 boolean 名字有误导性，比如 httpd_can_network_connect 控制的是 httpd 主进程发起 outbound 连接，不控制反向代理或 CGI 脚本行为
• 用 sesearch -b httpd_can_network_connect -A 查它实际允许哪些规则，比猜名字靠谱得多

为什么 setsebool -P 关了 boolean 还是被拒绝？

因为 boolean 只是策略中的一个开关变量，它背后对应的具体规则（allow 规则）可能根本没覆盖你当前的操作场景。比如你关了 httpd_read_user_content，但你的网页文件放在 /srv/www，而该 boolean 只影响 user_home_t 类型的文件，对 httpd_sys_content_t 无效。

使用场景：Web 服务读取非标准路径、PHP 调用 exec()、rsync 拉取数据后 chown 失败、容器挂载宿主机目录权限异常。

• 检查目标文件/目录的真实 SELinux 类型：ls -Z /path/to/file，不是看目录名，是看第三列 context 中的 type（如 httpd_sys_rw_content_t）
• 确认进程域（domain）：用 ps -eZ | grep httpd，看是不是 httpd_t，有些服务跑在 httpd_child_t 或 initrc_t 下，boolean 对象可能不匹配
• setsebool -P 只持久化 boolean 值，不重载策略——重启服务或执行 restorecon -Rv /path 才会应用新 context

audit2why 和 audit2allow 别乱用，容易越修越错

audit2why 只解释拒绝原因，不保证建议可执行；audit2allow 生成的 .te 模块默认是 permissive 模式，直接 semodule -i 安装后，可能绕过原本设计的安全边界。

风声雨声

基于 gpt-3.5 的翻译服务、内容学习服务

下载

性能影响：自定义模块不会随系统策略更新自动调整，内核升级或 selinux-policy 包更新后可能失效甚至冲突。

• 优先用 audit2why -a /var/log/audit/audit.log | grep -A1 'was caused' 快速定位是否已有标准 boolean 可开
• 如果真要写模块，加 -m 参数生成模块名，再用 checkmodule -M -m -o xxx.mod xxx.te && semodule_package -o xxx.pp -m xxx.mod，避免直接 audit2allow -a -M 生成不可控规则
• 临时调试可用 semanage permissive -a httpd_t，但上线前必须撤回——permissive 域仍记日志，但不拦截，适合验证是否真是 SELinux 导致问题

systemctl restart vs restorecon：哪个才真正“刷新”SELinux 效果？

重启服务（systemctl restart httpd）只重启进程，不改变已加载的策略或文件 context；restorecon 才是让文件系统标签回归策略默认值的关键操作。

兼容性注意：RHEL 8+ 默认用 policycoreutils-python-utils 提供 restorecon，旧版 RHEL 7 需装 policycoreutils-python；CentOS Stream 和 Rocky Linux 同理。

• 改完 boolean 后，必须 restorecon -Rv /var/www/html（或你实际路径），否则旧 context 还挂着，boolean 开了也白开
• restorecon -r（递归）和 -R 效果一样，但部分老版本只认 -R；加 -v 看实际修改了哪些文件，避免误以为生效了
• 如果路径在 NFS 或 bind mount 上，restorecon 可能失败或静默跳过——这时得在源文件系统上操作，或用 chcon -t httpd_sys_content_t /path 临时覆盖

最常被忽略的一点：boolean 开关和文件 context 是两层控制，缺一不可。很多人查到 avc denied 就猛翻 boolean，却忘了 ls -Z 看一眼目标文件类型是不是压根就不在策略允许范围内。