一、 CentOS SELinux概述

SELinux是一种平安模块，用于增强Linux系统的平安性。在CentOS系统中，SELinux可以帮助防止恶意软件和未经授权的访问。定制SELinux规则可以使系统更加符合特定的平安需求。

1. SELinux的工作原理

SELinux通过定义平安策略来控制用户、进程和应用程序对系统资源的访问。这些策略以Te文件的形式存在其中包含了各种访问控制规则。

2. SELinux的模式

SELinux有三种模式：Enforcing、Permissive和Disabled。强制模式是默认模式， 它强制施行平安策略；宽容模式允许访问，但不记录违反策略的事件；禁用模式完全禁用SELinux。

二、 定制CentOS SELinux规则

1. 收集拒绝日志

若需针对特定应用优化，先在Permissive模式下运行程序，收集被拒绝的访问日志：

sudo setenforce 0  # 临时设为Permissive模式
# 运行应用程序触发相关操作
sudo ausearch -m avc -ts recent  # 查看拒绝日志

2. 生成策略模块

2.1 使用audit2allow工具

基于日志自动生成策略：

sudo yum install policycoreutils-python selinux-policy-devel  # 编译策略所需工具

3. 自定义策略步骤

3.1 收集拒绝日志

policy_module
type myapp_t;
type myapp_exec_t;
init_daemon_domain
# 定义进程域
allow myapp_t myapp_exec_t:file { read execute };
# 允许施行文件

3.2 创建.fc文件，指定文件上下文映射。

3.3 编译与安装策略

编译策略：

checkmodule -M -m -o
semodule_package -o -m

安装策略模块：

sudo semodule -i

3.4 验证与应用

• 查看已加载模块：sudo semodule -l | grep myapp。
• 重启应用并测试功能，确认权限符合预期。

四、 辅助操作

• 管理布尔值快速开关特定权限

  sudo setsebool -P httpd_can_network_connect on  # 允许httpd访问网络
  sudo getsebool -a | grep httpd  # 查看httpd相关布尔值
  

• 修改文件上下文手动调整文件/目录的平安标签

  sudo chcon -t httpd_sys_content_t /path/to/file  # 临时修改
  sudo restorecon -Rv /path/to/dir  # 恢复默认上下文
  

五、注意事项

• 最小权限原则仅开放必要权限，避免过度放宽规则。
• 测试优先所有策略修改需先在Permissive模式下验证，避免影响生产环境。
• 官方文档参考复杂场景可参考SELinux官方指南或社区案例。

以上步骤参考自，可根据实际需求选择自动化工具或手动编写策略。

• 临时切换模式：

  setenforce 0  # 临时设为Permissive模式
  setenforce 1  # 临时设为Enforcing模式
  

• 永久修改：

  编辑 /etc/selinux/config， 设置 SELINUX=模式，重启生效。
  

• 安装工具包：

  sudo yum install selinux-policy-targeted
  

• 确认SELinux状态：

  getenforce  # 查看当前模式
  

在定制CentOS SELinux规则时 请务必谨慎操作，以确保系统的平安稳定。祝您成功！

---