Ich habe einen AlmaLinux 9-Server mit installiertem SELinux, der derzeit aber deaktiviert ist, da der Server noch nicht in der Produktion genutzt wird.
Ich bin bereit, mit der Installation anderer Anwendungen zu beginnen (z. B. Apache, PHP, Postfix, Logwatch, Fail2ban usw.), aber ich möchte wissen, ob ich SELinux so einstellen soll, dass das Dateisystem erzwungen und neu benannt wird.VorInstalliere ich diese Anwendungen oder warte ich, bis ich die gesamte benötigte Software installiert habe und führe es dann aus? Macht das einen Unterschied?
Vielen Dank im Voraus für alle Vorschläge/Kommentare.
Antwort1
Wenn Sie Selinux vollständig deaktivieren, müssen Sie das Dateisystem beim erneuten Aktivieren neu benennen, da neuer Inhalt keinen Selinux-Kontext hat (d. h.: was Sie über sehen können ls -Z).
Das Deaktivieren von Selinux ist jedoch fast nie der richtige Ansatz. Wenn ein Problem auftritt und/oder Sie es zu Fehlerbehebungszwecken verwenden möchten, sollten Sie es in permissiveden Modus versetzen. In diesem Modus lässt Selinux grundsätzlich alle Vorgänge zu, protokolliert jedoch Richtlinienverstöße. Sie können die Protokolldatei untersuchen und feststellen, ob ein Problem mit Selinux vorliegt. Wenn Sie sich sicher genug sind, können Sie Selinux in den enforcingModus versetzen.
Ich beschränke permissivedie Verwendung jedoch im Allgemeinen auf Debug-Sitzungen. Ich möchte das System lieber so schnell wie möglich in den Modus versetzen (z. B. zum Installationszeitpunkt) und mich nach und nach mit den eventuellen Folgen befassen, anstatt zu einem späteren Zeitpunkt (beim Wechsel von zu ) enforcingmehrere blockierende Probleme gleichzeitig zu debuggen .permissiveenforcing