На първо място, нека да направим кратка почивка описание на SELinux. Какво е SELinux и каква роля играе в операционната система Linux?
SELinux е модул за сигурност на ядрото, който има ролята да контролира достъпа на софтуерни приложения и потребители в операционната система. Лансиран някъде в средата на 2000-те, SELinux присъства през годините във все повече и повече дистрибуции на Linux.
Дейността на този модул се състои в разпространението и контрола на политиките за сигурност в системата, ограничавайки достъпа на приложенията на ниво основни подсистеми на ядрото.
Този защитен механизъм работи независимо от традиционните системи за контрол и блокиране на подозрителни дейности, присъстващи на Linux. Не може да бъде активно контролиран от "root" суперпотребителя и без взаимодействие с приложения или скриптове на трети страни, SELinux осигурява стабилност на ядрото.
Сигурност на система Linux без този SE модулLinux, автоматично ще зависи от правилната конфигурация на ядрото, работещи привилегировани приложения и техните конфигурации. . Проста грешка на един от тези елементи, споменати по-горе, може да компрометира правилното функциониране на цялата система.
В заключение SELinux може да се нарече истински пазител на операционните системи Linux, което гарантира цялостност, сигурност и стабилност. Не бъркайте този модул с антивирус или защитна стена. Съвсем различно е.
Хората, които използват Linux за уеб и облачни сървъри знам добре, че SELinux може да причини проблеми при стартиране на софтуерни приложения с привилегии за достъп и контрол system.
SELinux може да контролира дейностите на операционната система за всеки потребител, приложение и daemon отчасти и прилагайте точни политики и ограничения за сигурност. Това често може да бъде проблем за уеб сървърите, където повечето специфични софтуерни процеси имат привилегии и взаимодействат с ядрото на операционната система.
Тези, които са решили да деактивират този модул на ядрото, често правят грешки при изменението на директивата, което прави невъзможно зареждането на SELinux при рестартиране на операционната система. “Неуспешно зареждане на SELinux политика".
Показах в едно статия как SE може да бъде деактивиранLinux, за да се предотврати прекъсването на процеса на NGINX на уеб сървър.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted – Targeted processes are protected,
# minimum – Modification of targeted policy. Only selected processes are protected.
# mls – Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)
Грешка, която направихме по невнимание и бяхме отдалечен сървър, решението беше в пълна преинсталация на операционната система. Ако имате малко повече късмет, можете да коригирате SELinux само ако имате DVD под ръка или възможност да заредите ISO образа на операционната система в режим "rescue".
Неуспешно зареждане на SELinux Политика на магазина ни се намира особено на CentOS 6 и CentOS 7, RHEL 7.x.
Благодаря за статията, разбирате основната причина, но пропускате едно решение: всъщност add selinux=0 в записа на OS, предложен от grub, е достатъчно, за да го деактивиратеlinux и направи операционната система стартираща отново.
Благодаря за това решение!
selinux=0Мисля, че по времето, когато писах статията, тази опция не беше налична. Може и да бъркам. Благодаря за решението!