你終有一天會(huì)被 SELinux 阻止你訪問(wèn)所需的東西，而且要解決這個(gè)問(wèn)題。SELinux 拒絕某個(gè)文件、進(jìn)程或資源被訪問(wèn)的基要原因有數(shù)個(gè)：

1 一個(gè)被錯(cuò)誤標(biāo)簽的文件

2 一個(gè)進(jìn)程在錯(cuò)誤的 SELinux 安全性脈絡(luò)下運(yùn)行

3 政策出錯(cuò)。某個(gè)進(jìn)程要訪問(wèn)一個(gè)在編寫(xiě)政策時(shí)意料不到的文件，并產(chǎn)生錯(cuò)誤信息

4 一個(gè)入侵的企圖。

頭三個(gè)情況我們可以處理，而第四個(gè)正正是預(yù)期的表現(xiàn)。

先安裝setroubleshoot 組件。有的資料說(shuō)他是默認(rèn)安裝的，但在我的CentOS5.5上沒(méi)有。

yum install setroubleshoot

日志檔是排除任何疑難的關(guān)鍵，而 SELinux 亦不例外。SELinux 缺省會(huì)通過(guò) Linux 審計(jì)系統(tǒng)（auditd）將日志寫(xiě)在 /var/log/audit/audit.log 內(nèi)，而這項(xiàng)務(wù)服缺省為啟用的。假若 auditd 并未運(yùn)行，信息將會(huì)被寫(xiě)進(jìn) /var/log/messages。SELinux 的日志都被標(biāo)簽有 AVC 這個(gè)關(guān)鍵字，方便它們從其它信息中過(guò)濾出來(lái)。

由 CentOS 5 起，你可以用 SELinux 排除疑難工具協(xié)助你分析日志檔，將它們轉(zhuǎn)換為供人閱讀的格式。這個(gè)工具包含一個(gè)以可讀格式顯示信息及解決方案的圖像界面、一個(gè)桌面通報(bào)圖示、與及一個(gè)長(zhǎng)駐進(jìn)程（setroubleshootd），它負(fù)責(zé)查閱新的 SELinux AVC 警告并傳送至通報(bào)圖示（不運(yùn)行 X 服務(wù)器的話可設(shè)置以電郵通報(bào)）。SELinux 排除疑難工具是由 setroubleshoot 組件所提供，并缺省會(huì)被安裝。這個(gè)工具可以從「系統(tǒng)」選單或命令行引導(dǎo)：

sealert -b

不運(yùn)行 X 服務(wù)器的人可以通過(guò)命令行產(chǎn)生供人閱讀的報(bào)告：

sealert -a /var/log/audit/audit.log > /path/to/mylogfile.txt