Что может пойти не так, если мы отключим selinux

Это может быть глупым вопросом, но, пожалуйста, юмористируйте меня, поскольку я ничего не знаю о SELinux, кроме того, что находится на сайте wikipedia .

Мы унаследовали кучу используемых серверов из другой команды. У некоторых из них есть SELinux, а некоторые нет. Из-за SELinux у нас возникают проблемы с настройкой без пароля ssh, нашего веб-сервера и т. Д. Мы нашли работу на этом сайте stackexchange , который должен запускаться:

restorecon -R -v ~/.ssh 

Однако, поскольку нам не нужно работать SELinux для того, что мы делаем, может быть проще отключить его, чем для того, чтобы мы не забыли, чтобы все выполняли вышеуказанный cmd на всех разрешениях, необходимых для dir.

Можем ли мы отключить SELinux без каких-либо последствий в будущем или лучше просто перерисовать сервер? Одно замечание; наша ИТ-группа действительно занята, поэтому повторная обработка сервера невелика в их списке, если это абсолютно необходимо (нужно очень хорошее деловое дело) … или кто-то подкупает своего босса бутылкой виски или виски.

ОБНОВЛЕНИЕ: Спасибо за все предложения и советы. Эти серверы будут использоваться в качестве внутренних серверов-разработчиков. Не будет никакого внешнего доступа к этим машинам, поэтому безопасность не вызывает у нас большого беспокойства. Наши текущие серверы, которые мы используем (насколько мне известно), не имеют SELinux. Некоторые из моих менеджеров только что приобрели, и это те, которые мы смотрим на отключение, поэтому все в нашем кластере однородно.

  • sh работает нормально на моем компьютерном терминале, но создает ошибки на удаленном сервере
  • Существенный вход в журнал
  • 2 Аутентификация фактора - спросите о токене только при первом входе в систему
  • В чем смысл опции sshd «UseDNS»?
  • echo $ 1 = некотируемая разнесенная строка?
  • Маршрутизировать только трафик ssh через VPN
  • перейдите в текстовую консоль, используя ssh
  • какая команда unix или linux используется для изменения пароля root удаленной машины (только IP-адрес) без использования SSH Login
  • 4 Solutions collect form web for “Что может пойти не так, если мы отключим selinux”

    SELinux – это функция безопасности операционной системы. Он предназначен для защиты некоторых частей сервера от других частей.

    Например, если вы запускаете веб-сервер и имеете некоторый «уязвимый» код, который позволяет злоумышленнику запускать произвольные команды, SELinux может помочь смягчить это, не позволяя веб-серверу получать доступ к файлам, которые ему не разрешено видеть.

    Теперь вы можете отключить SELinux, и он ничего не сломает. Сервер будет работать нормально.

    Но вы отключите одну из функций безопасности.

    Имеются различные виды SELinux. Во многих случаях некоторые приложения плохо работают с SELinux, поэтому это решение является спорным (Oracle – один из примеров).
    Как правило, SELinux – это защитный механизм, который ставит еще одно препятствие на пути плохого парня, желающего подорвать вашу систему.

    В моих предыдущих ролях как системный администратор в крупных компаниях … Я вообще отключил SELinux. У меня не было времени отслеживать все ошибки SELinux на всех системах, которые используются пользователями, разработчиками и менеджерами.

    Прежде чем отключить что-то, вы можете начать с повторной привязки файлов в системе к тому, что они должны быть. Самый простой способ, который я нашел, – ввести команду:

      # /sbin/fixfiles onboot 

    ИЛИ

      # touch /.autorelabel 

    Затем перезагрузитесь и подождите, так как потребуется примерно столько же времени, чтобы система проверила и сбросила ошибочные метки SELinux в системе. После этого вы можете быть в порядке, поскольку он исправляет и исправляет несоответствующие метки SELinux, которые могут быть изменены до вашего попытки администрирования сервера.

    Однако, если этого не произойдет, системе не будет причинен вред, если не будет SELinux в режиме принудительного исполнения. Это просто дополнительный уровень защиты.

    Проще говоря, отключение механизмов обязательного контроля доступа (MAC), таких как SELinux , не является хорошей идеей и может поставить вас на недостаток безопасности, если плохой парень успешно обойдутся контроль доступа на основе имен, реализованный с помощью Discareionary Access Control (DAC).

    Если бы это я, я бы сделал что-то вроде

     semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy restorecon -R -v ~/.ssh # Applying the policy 

    чтобы быть более уверенным в типе-метке, назначенной рекурсивно из ~/.ssh

    Вообще говоря, вы не должны отключать SELinux. Есть инструменты, которые могут помочь вам понять, что пошло не так. Мой любимый пример использования в виде склеивания:

     sealert -a /var/log/audit/audit.log 

    OFC вы всегда можете установить SELinux в разрешающем режиме для отладки, но сохранение SELinux отключено или разрешено, поскольку он является серьезным недостатком безопасности Red Hat.

    Linux и Unix - лучшая ОС в мире.