У меня есть сервер AlmaLinux 9 с установленным SELinux, но в настоящее время он отключен, поскольку сервер еще не используется в промышленной эксплуатации.
Я готов начать установку других приложений (например, Apache, PHP, Postfix, Logwatch, Fail2ban и т. д.), но мне хотелось бы знать, следует ли мне настроить SELinux на принудительное использование и переименовать файловую систему.доУстанавливать ли эти приложения или ждать, пока установлю все необходимое ПО и тогда это сделаю? Есть ли разница?
Заранее спасибо за любые предложения/комментарии.
решение1
Если вы полностью отключите selinux, то вам придется переименовать файловую систему при повторном включении, поскольку любой новый контент не будет иметь контекста selinux (т. е. того, что вы можете увидеть через ls -Z).
Но отключение selinux почти никогда не является правильным подходом. Если возникли проблемы и/или для отладки, вам следует перевести его в permissiveрежим. В этом режиме selinux разрешит практически любую операцию, но будет регистрировать нарушение политики. Вы можете изучить файл журнала и посмотреть, есть ли какие-либо проблемы с selinux. Когда вы достаточно уверены, вы можете перевести selinux в enforcingрежим.
Однако я обычно ограничиваю permissiveиспользование только сеансом отладки — я предпочитаю перевести систему в enforcingрежим как можно скорее (например, во время установки) и постепенно устранять возможные последствия, а не одновременно отлаживать несколько блокирующих проблем позднее (при переключении с permissiveна enforcing).