本文首要介绍下四个导致 SELinux 警告产生的启事和解决方案。

　　启事一：呈现标注弊端

　　SELinux 的核心概念就是标注，不管是文件系统、目次、文件、文件启动描述符、端口、动静接口仍是收集接口，所有的一切都需要标签，并且仅且仅能遵循标签所付与的权限履行。即便运行的 Apache 过程被黑客进侵且获得了 uid=0 root 权限，它仍然没法拜候某个用户主目次下的文件。因为标注为httpdt 的 Apache 过程所持有的没法拜候标注为 userhome_t 的内容。

　　是以，假定标注有标题问题标话，SELinux 就会弹出警告。若何措置此类，可以参看本站前文中关于semanage fcontext 和 restorecon 号令的利用。当然也能够遵循图形化的 SELinux 除错东西中的提示解决。

　　启事二：自定义了法度运行设置

　　颠末量年的成长，SELinux 已堆集了大年夜量的策略文件时，对尽大年夜大都利用法度的默许运行要求都有记实，可以付与合适的最小权限予以履行。不外若是您自定义了一些运行建设或有特别的利用需求，则需要调剂部门 SELinux 设置。

　　对大年夜大都常见的自定义需求，SELinux 采纳布尔值的编制进行节制，可以参看本站前文中关于 setsebool 号令的利用。若想体味全数可调剂的 SELinux 布尔值，利用 semanage boolean ——l 号令。这可以经由过程图形化的 SELinux 除错东西解决，也能够经由过程图形化的 system-config-selinux 解决。

　　启事三：SELinux 策略或利用法度建设有标题问题

　　若是您并未出格点窜建设却仍然收到 SELinux 警告，启事可能就在 SELinux 策略或利用法度本身了。此时建议起首在 SELinux 除错东西的帮忙下提交弊端陈述，然后再根据环境进行措置。若是已被陈述过，凡是在弊端陈述的评论中会具体解决方案。

　　此时若是想忽视 SELinux 警告仍然运行利用法度，则有以下几种编制：

　　将 SELinux 设为承诺模式，仅记实警告但不禁止运行：setenforce 0.

　　将某单一标注过程设置为承诺模式，而非全部系统，例如仅想以承诺模式运行 Apache： semange permissive -a httpd_t

　　参照 SELinux 除错东西的建议成立并加载自定义策略。具体过程依环境而异，SELinux 除错东西内会有具体的申明。

　　启事四：法度已被进侵

　　SELinux 并不是进侵检测系统，所以今朝 SELinux 除错东西没法主动的甄别出进侵诡计，不外当您发现警告内容包含有以下特点时，很有可能对应过程已被黑客攻破了：

　　测验测验封锁 SELinux (/etc/selinux) 或设定某个 SELinux 布尔值。

　　测验测验载进内核模块、写进内核目次或指导器镜像。

　　测验测验读取 shadow_t 标识的文件，那边凡是包含了加密的账户信息。

　　测验测验笼盖写进日记文件。

　　测验测验连接不需要的随机端口或邮件端口。

　　至此四种常见警告启事介绍终了，希看您下次碰着 SELinux 警告时可以安然有效的措置。趁便说下，尽大年夜部门 SELinux 除错东西的本地化标题问题已解决，利用简中的童鞋们将可以在 Fedora 18 看到简中的警告内容了。