我有一台安裝了 SELinux 的 AlmaLinux 9 伺服器,但目前已停用,因為該伺服器尚未投入生產使用。
我已準備好開始安裝其他應用程式(例如 Apache、PHP、Postfix、Logwatch、Fail2ban 等),但我想知道是否應該將 SELinux 設定為強制執行並重新標記檔案系統前我安裝這些應用程式還是等到我安裝完所需的所有軟體後再執行?有什麼區別嗎?
預先感謝您的任何建議/意見。
答案1
如果您完全停用 selinux,則在重新啟用它時必須重新標記檔案系統,因為任何新內容都不會具有 selinux 上下文(即:您可以透過 看到的內容ls -Z)。
但禁用 selinux 幾乎從來都不是正確的方法。如果出現問題和/或出於調試目的,您應該將其置於permissive模式下。在這種模式下,selinux 基本上允許任何操作,但會記錄違反策略的情況。您可以檢查日誌檔案並查看 selinux 是否有任何問題。當你有足夠的信心時,你可以將selinux置於enforcing模式下。
但是,我通常僅限於調試會話 - 我更喜歡盡快permissive讓系統進入到 時)。enforcingpermissiveenforcing