直接运行 getenforce,输出 enforcing、permissive 或 disabled 之一,仅反映当前运行态;sestatus -v 还显示配置文件设定、策略类型等,排障更全面。
怎么一眼看出 SELinux 当前是否在生效
直接运行 getenforce,它只输出一行结果,最省事也最可靠。输出是 Enforcing、Permissive 或 Disabled 中的一个,没有歧义。
注意:getenforce 只反映「当前运行态」,不看配置文件。比如你改了 /etc/selinux/config 但没重启,它仍显示旧状态。
-
Enforcing:SELinux 正在拦截违规操作(比如 nginx 访问非标准目录被拒) -
Permissive:不拦截,只记日志(/var/log/audit/audit.log里会有大量avc: denied) -
Disabled:内核没加载 SELinux 模块,sestatus甚至可能报错找不到/sys/fs/selinux
为什么 sestatus -v 比 getenforce 更值得常查
sestatus -v 能同时看到「当前模式」+「配置文件设定」+「策略类型」+「上下文挂载点」,对排障特别关键。比如服务起不来时,你发现 Current mode: enforcing 但 Mode from config file: disabled,基本就能断定系统刚改过配置却没重启。
常见误判点:
- 只信
getenforce输出为Permissive就以为“SELinux 不影响我”,其实Permissive下 audit 日志照记,ausearch -m avc仍能抓到所有本该被拦的访问——只是没真拦住 - 看到
SELinux status: enabled就默认是Enforcing,忽略了它可能是Permissive(状态 enabled ≠ 行为 enforce)
临时切换模式:setenforce 0 和 setenforce 1 的边界在哪
setenforce 只能在 Enforcing ↔ Permissive 之间切,**永远无法用它变成 Disabled**。这是内核限制,不是命令没写好。
典型场景:
- 调试 httpd/nginx 报 403:先
setenforce 0看是否恢复,如果恢复,说明是 SELinux 上下文或布尔值问题,不是权限或配置错误 - 上线前验证策略:把生产环境临时切到
Permissive,跑一天收集audit.log,再用audit2allow生成最小权限规则 - 切完记得用
getenforce确认,别只信自己敲的命令——手滑输成setenforce 2会静默失败,状态不变
改配置文件前必须搞清的三件事
编辑 /etc/selinux/config 改 SELINUX=disabled 看似简单,但重启后可能卡在 initramfs 或服务起不来,原因往往藏在这三点里:
- 改完必须
reboot,systemctl reboot或shutdown -r now都行,但init 6在某些发行版(如 RHEL 8+)可能绕过 SELinux 重初始化流程 - 如果原先是
Enforcing,改disabled后首次启动会快很多;但反过来——从disabled改回enforcing,内核要重打全盘文件标签(.autorelabel),耗时可能长达几十分钟,且需额外重启一次 -
SELINUXTYPE=targeted别乱动。改成mls或删掉这行,可能导致semanage、restorecon失效,连httpd_can_network_connect这种布尔值都设不了
真正麻烦的从来不是“怎么关”,而是关了之后,别人忘了它曾经开过,某天突然发现 audit 日志空了、sealert 不工作、或者 restorecon 报 “No such file or directory” —— 因为 /sys/fs/selinux 根本不存在。
