这个需求其实可以通过sudo的条件规则结合SELinux状态检测来实现，不用复杂的SELinux策略修改，直接在sudoers配置里就能搞定。我给你拆解一下具体步骤：

核心思路 #

sudo支持在规则中加入WHEN子句，允许我们通过执行外部命令的返回值来决定这条规则是否生效。我们可以用getenforce命令来检测SELinux当前状态（返回Enforcing或Permissive），以此作为判断条件。

具体配置步骤 #

1. 先规划用户分组
   建议把用户分成两组，方便批量管理：

   • allowed_enforce：无论SELinux是强制还是宽容模式，都允许使用sudo的用户
   • restricted_users：仅在SELinux宽容模式下允许sudo，强制模式下被阻止的用户

   你可以用groupadd命令创建这两个组，再用usermod -aG <组名> <用户名>把用户加入对应组。

2. 编辑sudoers文件（必须用visudo）
   永远不要直接编辑/etc/sudoers，要用visudo命令打开——它会自动检查语法错误，避免配置出错导致sudo失效。

   在文件中添加以下规则（建议放在默认规则之前，比如%wheel规则的上方，确保优先匹配）：

   # 允许allowed_enforce组在任何SELinux状态下使用sudo
   %allowed_enforce ALL=(ALL) ALL
   
   # 仅允许restricted_users组在SELinux宽容模式下使用sudo
   %restricted_users ALL=(ALL) ALL WHEN "/usr/sbin/getenforce | grep -q Permissive"
   
   # 强制模式下拒绝restricted_users组的所有sudo请求
   %restricted_users ALL=(ALL) !ALL WHEN "/usr/sbin/getenforce | grep -q Enforcing"
   

   注意：有些系统中getenforce的路径是/sbin/getenforce，你可以先用which getenforce确认路径，再替换到规则里。

规则解释 #

• WHEN "/usr/sbin/getenforce | grep -q Permissive"：当getenforce输出包含Permissive时，这条允许规则生效
• WHEN "/usr/sbin/getenforce | grep -q Enforcing"：当SELinux处于强制模式时，这条拒绝规则生效，!ALL表示拒绝所有命令

测试验证 #

你可以切换SELinux状态来测试效果：

• 切换到宽容模式：setenforce 0，然后用restricted组的用户执行sudo ls，应该能成功
• 切换到强制模式：setenforce 1，同样用户执行sudo ls，会收到明确的拒绝提示

注意事项 #

• sudoers规则是从上到下匹配的，所以要把这些条件规则放在更通用的规则（比如%wheel ALL=(ALL) ALL）之前，避免被默认规则覆盖
• 如果不需要区分组，也可以直接针对单个用户配置，把%allowed_enforce换成具体用户名即可

备注：内容来源于stack exchange，提问作者user1098490