В този урок ще научите какво е SELinux и как да отстраните грешката "Failed to load SELinux Policy", която се появява на операционните системи CentOS.
Първо, нека дадем кратко описание на режима на защита SELinux. Какво е SELinux и каква роля играе в операционната система Linux?
SELinux е модул за сигурност на ядрото, който има ролята да контролира достъпа на софтуерни приложения и потребители до операционната система. Издаден някъде около средата на 2000 г., SELinux с годините присъства във все повече и повече разпространение на Linux.
Дейността на този модул се състои в разпространение и контрол на политиките за сигурност в системата, ограничаващи достъпа на приложенията на ниво основни подсистеми на ядрото.
Този защитен механизъм работи независимо от традиционните системи за контрол и блокиране на подозрителни дейности, присъстващи на Linux. Не може да се контролира активно от суперпотребител "root” и без взаимодействие с приложения или скриптове на трети страни, SELinux осигурява стабилност на ядрото.
Сигурност на система Linux без този модул SELinux това автоматично ще зависи от правилността на конфигурацията на ядрото, приложенията с работещи привилегии и техните конфигурации. Проста грешка в един от тези елементи, споменати по-рано, може да компрометира правилното функциониране на цялата система.
В заключение, SELinux може да се нарече истински пазител на операционните системи Linux, гарантирайки цялостност, сигурност и стабилност. Не бъркайте този модул с антивирус или защитна стена. Съвсем различно е.
Хората, които използват Linux за уеб и облачни сървъри знам това добре SELinux може да причини проблеми при стартиране на софтуерни приложения с привилегии за достъп до системата и контролно ниво.
SELinux може да контролира дейностите на операционната система за всеки потребител, приложение и daemon отчасти и може да прилага точни политики и ограничения за сигурност. Това често може да бъде проблем за уеб сървърите, където повечето специфични софтуерни процеси имат привилегии и взаимодействат с ядрото на операционната система.
Тези, които са решили да деактивират този модул на ядрото, често правят грешки при модифицирането на директивите, което води до невъзможност за зареждане SELinux при рестартиране на операционната система. “Failed to load SELinux policy".
Показах в a статия как може да бъде деактивиран SELinux, за да се предотврати прекъсването на процеса, поставен от услугата NGINX в уеб сървър.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)Грешка, която направихме по невнимание и тъй като беше отдалечен сървър, решението беше пълно преинсталиране на операционната система.
Ако имате малко повече късмет, можете да коригирате SELinux само ако имате под ръка DVD или възможност да заредите ISO изображението на операционната система в "rescue".
Failed to load SELinux Policy намира се особено на версиите CentOS 6, CentOS 7, RHEL 7.x.
Благодаря за статията, разбирате основната причина, но пропускате едно решение: всъщност add selinux=0 в записа на OS, предложен от grub, е достатъчно за деактивиране selinux и направи операционната система стартираща отново.
Благодаря за това решение!
selinux=0Мисля, че по времето, когато писах статията, тази опция не беше налична. Може и да бъркам. Благодаря за решението!