SELinux需配置为强制模式以提升安全性，先用sestatus查看状态，setenforce 1临时启用，再修改/etc/selinux/config中SELINUX=enforcing实现永久启用，重启后生效，并通过ausearch、semanage等工具处理拒绝事件，确保服务正常。

SELinux（Security-Enhanced Linux）是Linux系统中一个强大的强制访问控制（MAC）机制，能显著提升系统的安全性。默认情况下，某些发行版可能将其禁用或设置为宽容（Permissive）模式。要真正发挥其保护作用，需要正确启用并配置为强制（Enforcing）模式。

检查当前SELinux状态

在修改配置前，先确认SELinux当前的运行状态：

该命令会输出类似以下信息：

• SELinux status: enabled
• SELinuxfs mount: /sys/fs/selinux
• Current mode: permissive
• Mode from config file: enforcing

重点关注Current mode和Mode from config file。前者表示当前运行模式，后者是配置文件中设定的模式。

临时启用SELinux强制模式

如果当前处于宽容模式（Permissive），可临时切换到强制模式（Enforcing），无需重启：

其中：

• setenforce 0：切换为宽容模式（仅记录违规，不阻止）
• setenforce 1：切换为强制模式（记录并阻止违规操作）

注意：此更改在重启后失效，适用于测试策略效果。

永久启用SELinux并设置强制模式

要永久启用并配置SELinux，需修改其主配置文件：

确保文件中包含以下设置：

• SELINUX=enforcing — 启用强制模式
• SELINUXTYPE=targeted — 使用目标策略（推荐，对常用服务进行保护）

保存退出后，重启系统使配置生效：

处理SELinux拒绝事件

启用强制模式后，部分服务可能因权限问题无法启动。可通过以下方式排查：

• 查看拒绝日志：sudo ausearch -m avc -ts recent
• 生成可读报告：sudo semanage log -o /var/log/selinux.log
• 使用restorecon修复文件上下文：sudo restorecon -R /var/www/html
• 必要时添加自定义策略：audit2allow -a 分析日志并生成策略模块

基本上就这些。启用SELinux后建议保持观察一段时间，确保关键服务正常运行。合理配置下，SELinux能有效阻止未授权访问和提权攻击。