CentOS更新SELinux后�,可通過以下方式驗證:
-
檢查SELinux狀態
使用命令 getenforce 查看當前模式(Enforcing/Permissive/Disabled)���,確認是否為預期狀態��。
查看配置文件 /etc/selinux/config���,確認策略類型(如 targeted)是否正確���。
-
驗證上下文與策略
- 用
ls -Z 查看文件/目錄的SELinux上下文標簽��,確認更新后標簽符合預期����。
- 用
getfattr -n security.selinux 查看文件擴展屬性中的上下文�。
- 若更新策略���,用
sestatus 查看策略加載狀態���,確保新策略已生效�����。
-
測試訪問控制
嘗試訪問更新上下文或策略的文件/服務�����,觀察是否有SELinux拒絕日志(如 avc: denied)���,驗證權限是否按預期工作�����。
-
查看日志
- 用
ausearch -m avc -ts recent 查看最近的SELinux拒絕事件�����。
- 通過
journalctl -k | grep selinux 查看系統日志中的SELinux相關記錄�����。
-
確認服務狀態
若更新影響服務���,重啟相關服務(如 systemctl restart httpd)��,確保服務正常運行且無SELinux報錯����。
注意:更新后若需重新標記文件系統上下文���,需執行 restorecon -Rv /path/to/directory�����。生產環境建議先在測試環境驗證����,避免影響業務���。
