Tengo un servidor AlmaLinux 9 con SELinux instalado pero actualmente deshabilitado porque el servidor aún no está en uso de producción.
Estoy listo para comenzar a instalar otras aplicaciones (por ejemplo, Apache, PHP, Postfix, Logwatch, Fail2ban, etc.) pero lo que me gustaría saber es si debo configurar SELinux para aplicar y volver a etiquetar el sistema de archivos.antes¿Instalo estas aplicaciones o espero hasta haber instalado todo el software que necesito y lo hago entonces? ¿Hace alguna diferencia?
Gracias de antemano por cualquier sugerencia/comentario.
Respuesta1
Si desactiva totalmente selinux, deberá volver a etiquetar el sistema de archivos cuando lo vuelva a habilitar, ya que cualquier contenido nuevo no tendrá un contexto de selinux (es decir, lo que puede ver a través de ls -Z).
Pero deshabilitar Selinux casi nunca es el enfoque correcto. Si tiene problemas y/o con fines de depuración, debe ponerlo en permissivemodo. En este modo, selinux permitirá básicamente cualquier operación, pero registrará la infracción de la política. Puede examinar el archivo de registro y ver si existe algún problema con selinux. Cuando tenga la suficiente confianza, podrá poner selinux en enforcingmodo.
Sin embargo, generalmente restrinjo permissiveel uso solo a la sesión de depuración; prefiero tener el sistema en enforcingmodo lo antes posible (es decir, en el momento de la instalación) y lidiar progresivamente con las posibles consecuencias, en lugar de depurar simultáneamente múltiples problemas de bloqueo en un momento posterior ( al cambiar de permissivea enforcing).