Что может пойти не так, если мы отключим selinux [закрыто]
Большинство современных файловых систем журналируют файловые системы, что означает, что они отслеживают изменения, которые еще не были записаны на диск, во внутренней структуре данных, называемой журнал. В случае сбоя этот журнал будет воспроизведен, чтобы убедиться, что все операции записи выполнены успешно, что предотвращает повреждение файлов.
При фактической записи данных на диск кэш записи будет переупорядочивать записи, чтобы попытаться максимизировать пропускную способность, но он должен убедиться, что фактические данные файла записываются на диск раньше метаданных, чтобы убедиться, что если произойдет сбой, метаданные не будут устаревшими вместе с данными.
Проблема в том, что у многих дисков есть собственные кэши, которые также могут изменять порядок записи. Некоторые файловые системы предполагают, что это произойдет, и заставят диск очищать кеш в определенных точках, чтобы предотвратить это, и это называется барьерами записи , например, в ext4 и Linux в целом.
Для современных дисков потеря производительности при этом незначительна, и вам не следует отключать барьеры записи без крайней необходимости.
Существуют различные взгляды на SELinux. Во многих случаях некоторые приложения не очень хорошо работают с SELinux, так что это решение является спорным (Oracle - один из примеров).
В целом, SELinux - это защитный механизм, который ставит еще одно препятствие на пути злоумышленника, желающего подмять под себя вашу систему.
В моих предыдущих ролях системного администратора в крупных компаниях ... я обычно отключал SELinux. У меня не было времени отслеживать все ошибки SELinux на всех системах, используемых пользователями, разработчиками и менеджерами".
Прежде чем отключать что-либо, вы, возможно, захотите начать с переименования файлов в системе. Самый простой метод, который я нашел, это ввести команду:
# /sbin/fixfiles onboot
OR
# touch /.autorelabel
Затем перезагрузитесь и подождите, так как системе потребуется примерно столько же времени, чтобы проверить и сбросить ошибочные метки SELinux в системе. После этого вы можете быть в порядке, поскольку система исправит и скорректирует несоответствующие метки SELinux, которые могли быть изменены до того, как вы попытались администрировать сервер.
Однако, если этого не произойдет, системе не будет нанесен вред от того, что SELinux не находится в режиме принудительного применения. Это просто дополнительный уровень защиты.
SELinux - это функция безопасности операционной системы. Она предназначена для защиты одних частей сервера от других.
Например, если вы используете веб-сервер и имеете "уязвимый" код, который позволяет злоумышленнику выполнять произвольные команды, SELinux может помочь смягчить это, предотвращая доступ веб-сервера к файлам, которые ему не разрешено видеть.
Теперь вы можете отключить SELinux, и это ничего не нарушит. Сервер будет продолжать работать как обычно.
Но вы отключите одну из функций безопасности.
Проще говоря, отключение механизмов обязательного контроля доступа (MAC), таких как SELinux, не является хорошей идеей и может поставить вас в невыгодное положение с точки зрения безопасности, если злодей успешно обойдет контроль доступа на основе имен, реализованный с помощью дискреционного контроля доступа (DAC).
Если бы это был я, я бы сделал что-то вроде
semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy
чтобы быть предельно уверенным в type-label, назначенном рекурсивно из ~/. ssh
Вообще говоря, вы не должны отключать SELinux. Есть инструменты, которые могут помочь вам понять, что пошло не так. Мой любимый - sealert пример использования:
sealert -a /var/log/audit/audit.log
OFC вы всегда можете установить SELinux в разрешительный режим для отладки, но сохранение SELinux отключенным или разрешительным преподается Red Hat как серьезный недостаток безопасности.