Что может пойти не так, если мы отключим selinux

Это может быть глупым вопросом, но, пожалуйста, юмористируйте меня, поскольку я ничего не знаю о SELinux, кроме того, что находится на сайте wikipedia .

Мы унаследовали кучу используемых серверов из другой команды. У некоторых из них есть SELinux, а некоторые нет. Из-за SELinux у нас возникают проблемы с настройкой без пароля ssh, нашего веб-сервера и т. Д. Мы нашли работу на этом сайте stackexchange , который должен запускаться:

restorecon -R -v ~/.ssh 

Однако, поскольку нам не нужно работать SELinux для того, что мы делаем, может быть проще отключить его, чем для того, чтобы мы не забыли, чтобы все выполняли вышеуказанный cmd на всех разрешениях, необходимых для dir.

Можем ли мы отключить SELinux без каких-либо последствий в будущем или лучше просто перерисовать сервер? Одно замечание; наша ИТ-группа действительно занята, поэтому повторная обработка сервера невелика в их списке, если это абсолютно необходимо (нужно очень хорошее деловое дело) … или кто-то подкупает своего босса бутылкой виски или виски.

ОБНОВЛЕНИЕ: Спасибо за все предложения и советы. Эти серверы будут использоваться в качестве внутренних серверов-разработчиков. Не будет никакого внешнего доступа к этим машинам, поэтому безопасность не вызывает у нас большого беспокойства. Наши текущие серверы, которые мы используем (насколько мне известно), не имеют SELinux. Некоторые из моих менеджеров только что приобрели, и это те, которые мы смотрим на отключение, поэтому все в нашем кластере однородно.

4 Solutions collect form web for “Что может пойти не так, если мы отключим selinux”

SELinux – это функция безопасности операционной системы. Он предназначен для защиты некоторых частей сервера от других частей.

Например, если вы запускаете веб-сервер и имеете некоторый «уязвимый» код, который позволяет злоумышленнику запускать произвольные команды, SELinux может помочь смягчить это, не позволяя веб-серверу получать доступ к файлам, которые ему не разрешено видеть.

Теперь вы можете отключить SELinux, и он ничего не сломает. Сервер будет работать нормально.

Но вы отключите одну из функций безопасности.

Имеются различные виды SELinux. Во многих случаях некоторые приложения плохо работают с SELinux, поэтому это решение является спорным (Oracle – один из примеров).
Как правило, SELinux – это защитный механизм, который ставит еще одно препятствие на пути плохого парня, желающего подорвать вашу систему.

В моих предыдущих ролях как системный администратор в крупных компаниях … Я вообще отключил SELinux. У меня не было времени отслеживать все ошибки SELinux на всех системах, которые используются пользователями, разработчиками и менеджерами.

Прежде чем отключить что-то, вы можете начать с повторной привязки файлов в системе к тому, что они должны быть. Самый простой способ, который я нашел, – ввести команду:

  # /sbin/fixfiles onboot 

ИЛИ

  # touch /.autorelabel 

Затем перезагрузитесь и подождите, так как потребуется примерно столько же времени, чтобы система проверила и сбросила ошибочные метки SELinux в системе. После этого вы можете быть в порядке, поскольку он исправляет и исправляет несоответствующие метки SELinux, которые могут быть изменены до вашего попытки администрирования сервера.

Однако, если этого не произойдет, системе не будет причинен вред, если не будет SELinux в режиме принудительного исполнения. Это просто дополнительный уровень защиты.

Проще говоря, отключение механизмов обязательного контроля доступа (MAC), таких как SELinux , не является хорошей идеей и может поставить вас на недостаток безопасности, если плохой парень успешно обойдутся контроль доступа на основе имен, реализованный с помощью Discareionary Access Control (DAC).

Если бы это я, я бы сделал что-то вроде

 semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy restorecon -R -v ~/.ssh # Applying the policy 

чтобы быть более уверенным в типе-метке, назначенной рекурсивно из ~/.ssh

Вообще говоря, вы не должны отключать SELinux. Есть инструменты, которые могут помочь вам понять, что пошло не так. Мой любимый пример использования в виде склеивания:

 sealert -a /var/log/audit/audit.log 

OFC вы всегда можете установить SELinux в разрешающем режиме для отладки, но сохранение SELinux отключено или разрешено, поскольку он является серьезным недостатком безопасности Red Hat.

  • Как я могу передать ssh на удаленный сервер с автоматическим паролем и без ключа?
  • piping пароль, расположенный в файле, в команду ssh
  • Как я могу автоматически войти в список серверов, чтобы предотвратить блокировку учетной записи?
  • Запустите несколько экранов и прикрепите их для разделения изображения
  • Сценарий удаленного резервного копирования SSH
  • Подключиться к конкретному хосту
  • Копирование текста с одного терминала на другой
  • OSX ssh-add -K не работает для iMac
  • ssh не работает в сети, подключенной через TCP / IP
  • Какая информация отправляется клиентом на сервер при установлении соединения SSH?
  • Как я могу обмениваться файлами между двумя машинами Linux по локальной сети?
  • Interesting Posts

    Bash: переменная по умолчанию с заменой команды

    Как настроить встроенную цифровую клавиатуру на клавиатуре, используя linix mint?

    AWK – как получить содержимое файла, указанное первым столбцом файла

    Как изменить права на файлы / каталоги на установленном каталоге nfs, поэтому я обращаюсь к файлам как пользователь?

    замените пустые поля на выходе «grep» на строку

    Команда sudo не является источником /root/.bashrc

    Как использовать команду «if» для нескольких условий?

    Указатель мыши застрял при входе в систему

    Не удается установить раздел Veracrypt на Linux Mint (метаданные хранятся в кеше Windows)

    Включен ли TCP PACING по умолчанию в linux?

    Как отключить отключение после закрытия экрана?

    Когда кукольный, шеф-повар или правша – это более простые решения, чем менеджер пакетов?

    Разница между остановкой, уничтожением и завершением работы в диспетчере задач Xfce 1.0.1

    Как подключить две машины через Wi-Fi и другое оборудование?

    Манипулирование значениями RGB в PNG из командной строки

    Linux и Unix - лучшая ОС в мире.