Что может пойти не так, если мы отключим selinux

Это может быть глупым вопросом, но, пожалуйста, юмористируйте меня, поскольку я ничего не знаю о SELinux, кроме того, что находится на сайте wikipedia .

Мы унаследовали кучу используемых серверов из другой команды. У некоторых из них есть SELinux, а некоторые нет. Из-за SELinux у нас возникают проблемы с настройкой без пароля ssh, нашего веб-сервера и т. Д. Мы нашли работу на этом сайте stackexchange , который должен запускаться:

restorecon -R -v ~/.ssh 

Однако, поскольку нам не нужно работать SELinux для того, что мы делаем, может быть проще отключить его, чем для того, чтобы мы не забыли, чтобы все выполняли вышеуказанный cmd на всех разрешениях, необходимых для dir.

Можем ли мы отключить SELinux без каких-либо последствий в будущем или лучше просто перерисовать сервер? Одно замечание; наша ИТ-группа действительно занята, поэтому повторная обработка сервера невелика в их списке, если это абсолютно необходимо (нужно очень хорошее деловое дело) … или кто-то подкупает своего босса бутылкой виски или виски.

ОБНОВЛЕНИЕ: Спасибо за все предложения и советы. Эти серверы будут использоваться в качестве внутренних серверов-разработчиков. Не будет никакого внешнего доступа к этим машинам, поэтому безопасность не вызывает у нас большого беспокойства. Наши текущие серверы, которые мы используем (насколько мне известно), не имеют SELinux. Некоторые из моих менеджеров только что приобрели, и это те, которые мы смотрим на отключение, поэтому все в нашем кластере однородно.

  • gvfs-mount не будет монтировать хост ssh, указанный в config
  • Я хочу скопировать удаленный файл txt через SSH, но без использования корневого доступа
  • как проверить, работает ли ssh без подключения к серверу
  • Как работает 'ssh user2 @ host2: user1 @ host1'?
  • многострочный вывод через команду SSH
  • Как ускорить мой слишком медленный вход ssh?
  • Переменная, назначенная внутри команды ssh, не возвращает правильное значение
  • Пересмотр пользователей, у которых установлены настройки по умолчанию / bin / bash
  • 4 Solutions collect form web for “Что может пойти не так, если мы отключим selinux”

    SELinux – это функция безопасности операционной системы. Он предназначен для защиты некоторых частей сервера от других частей.

    Например, если вы запускаете веб-сервер и имеете некоторый «уязвимый» код, который позволяет злоумышленнику запускать произвольные команды, SELinux может помочь смягчить это, не позволяя веб-серверу получать доступ к файлам, которые ему не разрешено видеть.

    Теперь вы можете отключить SELinux, и он ничего не сломает. Сервер будет работать нормально.

    Но вы отключите одну из функций безопасности.

    Имеются различные виды SELinux. Во многих случаях некоторые приложения плохо работают с SELinux, поэтому это решение является спорным (Oracle – один из примеров).
    Как правило, SELinux – это защитный механизм, который ставит еще одно препятствие на пути плохого парня, желающего подорвать вашу систему.

    В моих предыдущих ролях как системный администратор в крупных компаниях … Я вообще отключил SELinux. У меня не было времени отслеживать все ошибки SELinux на всех системах, которые используются пользователями, разработчиками и менеджерами.

    Прежде чем отключить что-то, вы можете начать с повторной привязки файлов в системе к тому, что они должны быть. Самый простой способ, который я нашел, – ввести команду:

      # /sbin/fixfiles onboot 

    ИЛИ

      # touch /.autorelabel 

    Затем перезагрузитесь и подождите, так как потребуется примерно столько же времени, чтобы система проверила и сбросила ошибочные метки SELinux в системе. После этого вы можете быть в порядке, поскольку он исправляет и исправляет несоответствующие метки SELinux, которые могут быть изменены до вашего попытки администрирования сервера.

    Однако, если этого не произойдет, системе не будет причинен вред, если не будет SELinux в режиме принудительного исполнения. Это просто дополнительный уровень защиты.

    Проще говоря, отключение механизмов обязательного контроля доступа (MAC), таких как SELinux , не является хорошей идеей и может поставить вас на недостаток безопасности, если плохой парень успешно обойдутся контроль доступа на основе имен, реализованный с помощью Discareionary Access Control (DAC).

    Если бы это я, я бы сделал что-то вроде

     semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy restorecon -R -v ~/.ssh # Applying the policy 

    чтобы быть более уверенным в типе-метке, назначенной рекурсивно из ~/.ssh

    Вообще говоря, вы не должны отключать SELinux. Есть инструменты, которые могут помочь вам понять, что пошло не так. Мой любимый пример использования в виде склеивания:

     sealert -a /var/log/audit/audit.log 

    OFC вы всегда можете установить SELinux в разрешающем режиме для отладки, но сохранение SELinux отключено или разрешено, поскольку он является серьезным недостатком безопасности Red Hat.

    Interesting Posts

    Как исправить графические проблемы с приложениями Qt? (дельфин: 14635): Gdk-WARNING **: ошибка shmget: ошибка 28 (на устройстве не осталось места)

    Как обновить или перезагрузить rc.conf в диспетчере файлов ranger?

    Как протестировать локаль

    Fluxbox Sytem Tray добавляет все больше пробелов

    Wireless ssh "issue" (Нет пути к хосту)

    Как безопасно управлять etckeeper из гитолита?

    Как указать параметры конфигурации среды выполнения subversion?

    Почему cc (компилятор C) и подобные утилиты по умолчанию не используют стандартные потоки?

    Как я могу определить, какие форматы принт принимает?

    Получить коды сканирования в восьмеричном формате

    найти ошибку совпадения команд

    Глобус с помощью скобок и переменных в zsh

    Скрыть отдельный указательный указатель (из-за мерцания) в KDE в настройке двойного указателя с сенсорным экраном

    Настройка часового пояса по всему миру для OpenIndiana Hipster?

    Как работают внутренние работы демона cron?

    Linux и Unix - лучшая ОС в мире.