V tomto tutoriálu se dozvíte, co je SELinux a jak opravit chybu "Failed to load SELinux Policy", která se objevuje na operačních systémech CentOS.
Nejprve si stručně popišme režim zabezpečení SELinux. Co je to SELinux a jakou roli hraje v operačním systému Linux?
SELinux je bezpečnostní modul jádra, který má za úkol řídit přístup softwarových aplikací a uživatelů k operačnímu systému. Vyšlo někdy kolem poloviny roku 2000, SELinux se stal v průběhu let přítomen na stále více distribucích Linux.
Činnost tohoto modulu spočívá v distribuci a řízení bezpečnostních politik v systému, omezení přístupu aplikací na úrovni hlavních subsystémů jádra.
Tento bezpečnostní mechanismus funguje nezávisle na tradičních kontrolních a blokovacích systémech podezřelých aktivit přítomných na Linux. Nelze aktivně ovládat superuživatelem "root“ a bez interakce s aplikacemi nebo skripty třetích stran, SELinux zajišťuje stabilitu jádra.
Zabezpečení systému Linux bez tohoto modulu SELinux bude automaticky záviset na správnosti konfigurace jádra, aplikací s oprávněními ke spuštění a jejich konfigurací. Jednoduchá chyba v jednom z výše uvedených prvků může ohrozit správné fungování celého systému.
Na závěr, SELinux lze nazvat skutečným strážcem operačních systémů Linuxzajištění integrity, bezpečnosti a stability. Nezaměňujte tento modul s antivirem nebo firewallem. Je to úplně jiné.
Lidé, kteří používají Linux pro webové a cloudové servery to dobře vím SELinux může způsobit problémy při spouštění softwarových aplikací se systémovým přístupem a oprávněními na úrovni řízení.
SELinux může řídit aktivity operačního systému pro každého uživatele, aplikaci a daemon částečně a může uplatňovat přesné bezpečnostní zásady a omezení. To může být často problém pro webové servery, kde má většina specifických softwarových procesů oprávnění a interaguje s jádrem operačního systému.
Ti, kteří se rozhodli zakázat tento modul jádra, často dělají chyby při úpravách direktiv, což vede k nemožnosti načíst SELinux při restartování operačního systému. “Failed to load SELinux policy".
Ukázal jsem v a článek, jak to lze deaktivovat SELinux, aby nedošlo k přerušení procesu vloženého službou NGINX na webový server.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)Chyba, kterou jsme neúmyslně udělali, a protože se jednalo o vzdálený server, řešení bylo kompletní reinstalaci operačního systému.
Pokud budete mít trochu štěstí, můžete to opravit SELinux pouze pokud máte po ruce DVD nebo možnost načíst obraz ISO operačního systému do "rescue".
Failed to load SELinux Policy nachází se zejména na verzích CentOS 6, CentOS 7, RHEL 7.x.
Díky za článek, pochopili jste hlavní příčinu, ale vynechali jste jedno řešení: ve skutečnosti add selinux=0 v položce OS navržené grubem stačí k deaktivaci selinux a OS znovu spustitelný.
Díky za toto řešení!
selinux=0Myslím, že v době, kdy jsem psal článek, tato možnost nebyla. mohu se mýlit. Díky za řešení!