passt-selinux

### SELinux 配置与故障排除

#### SELinux 基础概念
安全增强型Linux (SELinux) 是一种强制访问控制机制，旨在提供更细粒度的安全策略管理。通过定义进程和服务之间的交互规则，可以有效防止未授权的访问行为[^1]。

#### SELinux 的伪文件系统
为了实现灵活而强大的安全管理功能，SELinux 使用了一个特殊的虚拟文件系统 `/sys/fs/selinux` 来存储其运行时参数和状态信息。这个伪文件系统的存在使得管理员能够动态调整策略设置而不必重启整个操作系统[^2]。

#### 获取 SELinux 配置报告
当遇到复杂的权限问题时，可以通过命令 `seinfo`, `sesearch` 或者图形化工具如 `apol` 来获取详细的分析报告，这有助于理解当前环境下的标签分配情况以及可能存在的冲突点，从而辅助优化配置文件[^3]。

#### 故障排查实例：OpenStack Nova 计算服务无法启动
如果在启用了 SELinux 的环境中遇到了 OpenStack 组件（例如 nova-compute）无法正常工作的情况，则应首先检查相应的日志记录。比如，在尝试连接 RabbitMQ 消息队列失败的情况下，错误提示显示为 "AMQP server on controller.jmilk.com:5672 is unreachable"[^4]。此时应该重点审查以下几个方面：

- **网络连通性**：确认目标主机可达，并且端口开放。
- **SELinux 上下文**：验证涉及的服务程序及其资源是否具有正确的上下文标记。
- **审计日志**：利用 `ausearch -m avc -ts recent` 查找最近发生的 AVC 否定事件，这些通常是由于违反了 SELinux 策略所引起的拒绝操作。

对于上述提到的日志条目中的具体错误码 `[Errno 111] ECONNREFUSED` 表明客户端被服务器主动拒绝连接请求，通常意味着目的地确实不存在监听套接字或者防火墙阻止了通信流量。因此除了考虑 SELinux 影响外还需要综合其他因素来进行全面诊断。