Eu tenho um servidor AlmaLinux 9 com SELinux instalado, mas atualmente desabilitado porque o servidor ainda não está em uso de produção.
Estou pronto para começar a instalar outros aplicativos (por exemplo, Apache, PHP, Postfix, Logwatch, Fail2ban, etc.), mas o que eu gostaria de saber é se devo configurar o SELinux para impor e renomear o sistema de arquivosantesEu instalo esses aplicativos ou espero até instalar todo o software que preciso e faço isso então? Isso faz alguma diferença?
Agradecemos antecipadamente por quaisquer sugestões/comentários.
Responder1
Se você desabilitar totalmente o selinux, terá que renomear o sistema de arquivos ao reativá-lo, pois qualquer novo conteúdo não terá um contexto selinux (ou seja: o que você pode ver via ls -Z).
Mas desabilitar o selinux quase nunca é a abordagem correta. Se estiver tendo problemas e/ou para fins de depuração, você deve colocá-lo no permissivemodo. Neste modo, o selinux permitirá basicamente qualquer operação, mas registrará violações de política. Você pode examinar o arquivo de log e ver se existe algum problema com o selinux. Quando você estiver confiante o suficiente, poderá colocar o selinux em enforcingmodo.
No entanto, geralmente restringo permissiveo uso apenas à sessão de depuração - prefiro colocar o sistema no enforcingmodo o mais rápido possível (ou seja: no momento da instalação) e lidar progressivamente com as eventuais consequências, em vez de depurar simultaneamente vários problemas de bloqueio posteriormente ( ao mudar de permissivepara enforcing).