CentOS更新SELinux后,可通过以下方式验证:
检查SELinux状态
使用命令 getenforce 查看当前模式(Enforcing/Permissive/Disabled),确认是否为预期状态。
查看配置文件 /etc/selinux/config,确认策略类型(如 targeted)是否正确。
验证上下文与策略
ls -Z 查看文件/目录的SELinux上下文标签,确认更新后标签符合预期。getfattr -n security.selinux 查看文件扩展属性中的上下文。sestatus 查看策略加载状态,确保新策略已生效。测试访问控制
尝试访问更新上下文或策略的文件/服务,观察是否有SELinux拒绝日志(如 avc: denied),验证权限是否按预期工作。
查看日志
ausearch -m avc -ts recent 查看最近的SELinux拒绝事件。journalctl -k | grep selinux 查看系统日志中的SELinux相关记录。确认服务状态
若更新影响服务,重启相关服务(如 systemctl restart httpd),确保服务正常运行且无SELinux报错。
注意:更新后若需重新标记文件系统上下文,需执行 restorecon -Rv /path/to/directory。生产环境建议先在测试环境验证,避免影响业务。
