Nejprve si udělejme krátkou pauzu popis SELinux. Co je SELinux a jakou roli hraje v operačním systému Linux?
SELinux je bezpečnostní modul jádra, která má za úkol řídit přístup softwarových aplikací a uživatelů k operačnímu systému. Spuštěna někdy v polovině 2000, SELinux se stal v průběhu let přítomen na stále více distribucích Linux.
Činnost tohoto modulu spočívá v distribuci a kontrole bezpečnostních politik v systému, což omezuje přístup aplikací na úroveň hlavních subsystémů jádra.
Tento bezpečnostní mechanismus funguje nezávisle na tradičních systémech kontroly a blokování podezřelých aktivit přítomných na Linux. Nelze jej aktivně ovládat „kořenovým“ superuživatelem a bez interakce s aplikacemi nebo skripty třetích stran, SELinux zajišťuje stabilitu jádra.
Zabezpečení systému Linux bez tohoto SE moduluLinux, bude automaticky záviset na správné konfiguraci jádra, spuštěných privilegovaných aplikacích a jejich konfiguracích. . Jednoduchá chyba jednoho z výše uvedených prvků může ohrozit správné fungování celého systému.
Na závěr SELinux lze nazvat skutečným strážcem operačních systémů Linux, která zajišťuje integritu, bezpečnost a stabilitu. Nezaměňujte tento modul s antivirem nebo firewallem. Je to úplně jiné.
Lidé, kteří používají Linux pro webové a cloudové servery dobře vím, že SELinux může způsobit problémy při spouštění softwarových aplikací s přístupovými a kontrolními oprávněními system.
SELinux může ovládat činnost operačního systému pro každého uživatele, aplikaci a daemon částečně a uplatňovat přesné bezpečnostní zásady a omezení. To může být často problém pro webové servery, kde má většina specifických softwarových procesů oprávnění a interaguje s jádrem operačního systému.
Ti, kteří se rozhodli tento modul jádra zakázat, často dělají chyby při úpravě směrnice, což znemožňuje načtení SELinux při restartování operačního systému. “Načtení SE se nezdařiloLinux politika".
Ukázala jsem v jednom článek, jak lze SE zakázatLinux, aby se zabránilo přerušení procesu vloženého NGINX na webový server.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted – Targeted processes are protected,
# minimum – Modification of targeted policy. Only selected processes are protected.
# mls – Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)
Chyba, kterou jsme neúmyslně udělali, a protože jsme vzdáleným serverem, řešení bylo v kompletní reinstalace operačního systému. Pokud budete mít trochu více štěstí, můžete opravit SELinux pouze pokud máte po ruce DVD nebo možnost načíst ISO obraz operačního systému v „záchranném“ režimu.
Načtení SE se nezdařiloLinux Zásady se nachází zejména na CentOS 6 a CentOS 7, RHEL 7.x.
Příspěvek byl naposledy upraven 12. května 2021 11:10
Zobrazit komentáře (2)
Díky za článek, pochopili jste hlavní příčinu, ale vynechali jste jedno řešení: ve skutečnosti add selinux=0 v položce OS navržené grubem stačí k jeho zakázánílinux a OS znovu spustitelný.
Díky za toto řešení!
selinux=0Myslím, že v době, kdy jsem psal článek, tato možnost nebyla. mohu se mýlit. Díky za řešení!