SELinux がインストールされた AlmaLinux 9 サーバーを所有していますが、サーバーはまだ実稼働環境で使用されていないため、現在は無効になっています。
他のアプリケーション(Apache、PHP、Postfix、Logwatch、Fail2banなど)のインストールを開始する準備はできていますが、SELinuxを強制に設定してファイルシステムのラベルを変更する必要があるかどうかを知りたいです。前にこれらのアプリケーションをインストールするか、必要なソフトウェアがすべてインストールされるまで待ってからインストールしますか? 違いはありますか?
ご提案やご意見がありましたら、ぜひお寄せください。
答え1
ls -Zselinux を完全に無効にした場合、新しいコンテンツには selinux コンテキスト (つまり、 で確認できるもの)が含まれないため、再度有効にするときにファイルシステムのラベルを付け直す必要があります。
しかし、selinux を無効にすることは、ほとんどの場合、正しいアプローチではありません。問題がある場合やデバッグ目的の場合は、permissiveモードにする必要があります。このモードでは、selinux は基本的にすべての操作を許可しますが、ポリシー違反をログに記録します。ログ ファイルを調べて、selinux に問題があるかどうかを確認できます。十分な自信が持てたら、selinux をenforcingモードにすることができます。
ただし、私は通常、permissive使用をデバッグ セッションのみに制限しています。後から ( から に切り替えるとき) 複数のブロッキング問題を同時にデバッグするのではなく、できるだけ早く (つまり、インストール時に) システムを モードにenforcingして、最終的な影響に段階的に対処することを好みます。permissiveenforcing