SELinux가 설치된 AlmaLinux 9 서버가 있지만 서버가 아직 프로덕션에서 사용되지 않기 때문에 현재 비활성화되어 있습니다.
다른 애플리케이션(예: Apache, PHP, Postfix, Logwatch, Fail2ban 등) 설치를 시작할 준비가 되었지만 알고 싶은 것은 파일 시스템을 적용하고 레이블을 다시 지정하도록 SELinux를 설정해야 하는지 여부입니다.~ 전에이러한 애플리케이션을 설치합니까, 아니면 필요한 모든 소프트웨어를 설치할 때까지 기다렸다가 설치합니까? 차이가 있나요?
어떤 제안/의견이라도 미리 감사드립니다.
답변1
selinux를 완전히 비활성화한 경우 파일 시스템을 다시 활성화할 때 파일 시스템의 레이블을 다시 지정해야 합니다. 새 콘텐츠에는 selinux 컨텍스트(예: 를 통해 볼 수 있는 내용)가 없기 때문입니다 ls -Z.
그러나 selinux를 비활성화하는 것은 결코 올바른 접근 방식이 아닙니다. 문제가 있거나 디버깅 목적으로 사용되는 경우 모드로 전환해야 합니다 permissive. 이 모드에서 selinux는 기본적으로 모든 작업을 허용하지만 정책 위반을 기록합니다. 로그 파일을 검사하여 selinux에 문제가 있는지 확인할 수 있습니다. 충분히 자신감이 생기면 selinux를 enforcing모드로 설정할 수 있습니다.
그러나 일반적으로 세션 디버깅에만 사용을 제한합니다 . 나중에 여러 차단 문제를 동시에 디버깅하는 것보다 가능한 한 빨리(예: 설치 시) permissive시스템을 모드로 설정하고 최종 문제를 점진적으로 처리하는 것을 선호합니다 ( 에서 enforcing로 전환할 때 ).permissiveenforcing