AL2023 的默认 SELinux 状态和模式

对于 AL2023，SELinux 默认状态为 enabled 并设置为 permissive 模式。在 permissive 模式下，记录但不强制执行权限拒绝。

getenforce 或 sestatus 命令会告诉您当前的 SELinux 状态、策略和模式。

当默认状态设置为 enabled 和 permissive 时，getenforce 命令返回 permissive。

sestatus 命令返回 SELinux 状态和当前 SELinux 策略，如下例所示：

$ sestatus
SELinux status:                 enabled
  SELinuxfs mount:                /sys/fs/selinux
  SELinux root directory:         /etc/selinux
  Loaded policy name:             targeted
  Current mode:                   permissive
  Mode from config file:          permissive
  Policy MLS status:              enabled
  Policy deny_unknown status:     allowed
  Memory protection checking:     actual (secure)
  Max kernel policy version:      33

当您在 permissive 模式下运行 SELinux 时，用户可能会错误地标记文件。当您在 disabled 状态下运行 SELinux 时，不会标记文件。当您改为 enforcing 模式时，不正确或未标记的文件都可能导致问题。

SELinux 会自动重新标记文件以避免此问题。当您将状态改为 enabled 时，SELinux 可通过自动重新标记来防止出现标记问题。