Estoy ejecutando CentOS Linux versión 7.5.1804 (Core) y me encontré con el conjunto habitual de SELinux en tarea permisiva. Pero luego mis dos fuentes me dieron dos ubicaciones diferentes donde se debería configurar la configuración:
- /etc/sysconfig/selinux
gato /etc/sysconfig/selinux
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
- /etc/selinux/config
gato /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# permissive - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of permissive.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
He leído los foros relevantes de RedHat pero nadie parece particularmente interesado en ninguno de los dos. Lea tambiénSelinux - centos - falta /etc/selinux/config, ambas soluciones están ahí para una respuesta.
¿Cuál debo usar para mi versión actual?
¿Cuál debería usar en el futuro para versiones más nuevas?
ACTUALIZACIÓN: No están vinculados simbólicamente en mi sistema. En grasa son dos archivos bastante diferentes:
ls -la /etc/selinux/ | grep config
-rw-r--r--. 1 root root 550 Jan 14 15:55 config
ls -la /etc/sysconfig/ | grep selinux
-rw-r--r--. 1 root root 543 Jan 10 14:12 selinux
Respuesta1
De un sistema CentOS 7 tengo a mano, pero CentOS 6 y Fedora 31 son iguales
lrwxrwxrwx. 1 root root 17 Oct 31 2018 selinux -> ../selinux/config
Parece que son el mismo archivo. Utilice personalmente /etc/selinx/config debido a la memoria muscular.
pero en mi sistema son archivos diferentes, el tamaño es diferente, el tiempo de cambio es diferente
Entonces considere que su sistema está "roto". Esto es fácil de probar, establecer permisivo en uno y hacer cumplir en el otro. Reiniciar ...
Respuesta2
El archivo de configuración predeterminado de Selinux está en /etc/selinux/configformato per man 8 selinux. En el Apéndice D delGuía de implementación de RHEL 6(no se pudo encontrar en el documento RHEL 7), mencionan que /etc/sysconfiges un enlace simbólico a /etc/selinux/config:
El archivo /etc/sysconfig/selinux contiene las opciones de configuración básicas para SELinux. Es un enlace simbólico a /etc/selinux/config
Sabrás que es un enlace simbólico cuando veas el ls -laresultado porque el primer campo será l, para enlace, y ugotendrá rwx:
[root@test sysconfig]# ls -lah selinux
lrwxrwxrwx. 1 root root 19 Nov 24 00:58 selinux -> /etc/selinux/config
Antes de saber que se trataba de un enlace simbólico, accidentalmente sobrescribí el archivo sedporque de forma predeterminada sedno sigue los enlaces simbólicos:
[root@test sysconfig]# ls -lah selinux
lrwxrwxrwx. 1 root root 17 Jul 24 23:16 selinux -> ../selinux/config
[root@test sysconfig]# grep '^SELINUX=' selinux
SELINUX=enforcing
[root@test sysconfig]# sed -i 's/SELINUX=enforcing/SELINUX=permissive/' selinux
[root@test sysconfig]# ls -lah selinux
-rw-r--r--. 1 root root 544 Nov 24 00:50 selinux
Si alguna vez te encuentras en esa situación, una solución fácil es restaurar el enlace simbólico:
[root@test sysconfig]# rm /etc/sysconfig/selinux
rm: remove regular file ‘/etc/sysconfig/selinux’? y
[root@test sysconfig]# ln -s /etc/selinux/config selinux
[root@test sysconfig]# ls -lah selinux
lrwxrwxrwx. 1 root root 19 Nov 24 00:52 selinux -> /etc/selinux/config
Personalmente solo estoy modificando /etc/selinux/config, uno para no cometer otro error con el enlace simbólico, pero dos porque algunos archivos de configuración en ese directorio están quedando obsoletos en versiones más recientes; Por ejemplo,nfsen RHEL 8.