Комментарии 8
Немного дополню:
SELinux включен по умолчанию на RedHat линейке (в т.ч. CentOS)
У SELinux есть два режима: enforcing/permissive, что вольно переведу как запрещать/наблюдать.
На практике практически 100% администраторов отключают SELinux из-за нечетких логов.
А именно в логах обычно ничего не содержится и не пишется, а приложение при этом не работает: часто это веб-серверы.
Вот забыли вы SELinux отключить — а Apache рабортует что все отлично, а по факту не работает ничего.
SELinux включен по умолчанию на RedHat линейке (в т.ч. CentOS)
У SELinux есть два режима: enforcing/permissive, что вольно переведу как запрещать/наблюдать.
На практике практически 100% администраторов отключают SELinux из-за нечетких логов.
А именно в логах обычно ничего не содержится и не пишется, а приложение при этом не работает: часто это веб-серверы.
Вот забыли вы SELinux отключить — а Apache рабортует что все отлично, а по факту не работает ничего.
Поэтому администратор должен смотреть не лог приложения, а лог системы и обращать внимание на записи с меткой audit. В них всегда чётко указано, какое приложение попыталось получить доступ, куда и каким методом.
Почему пользователь должен подтирать какахи и разбираться почему приложение не способно работать из коробки?
SELinux отключают именно потому, что разработан он чужими для хищников. Приложения не умеют обеспечивать свою работоспособность самостоятельно. Какого либо пользовательского интерфейса по типу запроса прав в андроиде приложения не предоставляют.
SELinux отключают именно потому, что разработан он чужими для хищников. Приложения не умеют обеспечивать свою работоспособность самостоятельно. Какого либо пользовательского интерфейса по типу запроса прав в андроиде приложения не предоставляют.
Полностью с вами согласен. А по поводу отключенных SELinux, полностью выключенного файрвола и т.д… Часто с таким встречаюсь у маленьких компаний по Ростову… Обычно CentOS выбирают под 1С c Postgree, я про тех, с кем приходилось сталкиваться мне… Что у других происходит не скажу…
Для удобного анализа журналов аудита есть набор инструментов setroubleshoot в состав которого входить утилита sealert. Она позволит вам проанализировать логи и предложит варианты решения вплоть докаманды которую нужно выполнить. Само собой выполнять бездумно ее рекомендации не следует, но основу для быстрого решения она предложит безусловно. Подробнее про нее было в habr.com/ru/company/kingservers/blog/209644. Жаль что в основную статью этот инструмент не попал.
В логах все отлично логируется — что и кем заблокировано.
Отключают selinux из-за лени:
— админов, хотя это из работа.
— тестеров, катим обновления, новые правила selinux теоретически могут какую-нибудь существующую активность залочить.
Отключают selinux из-за лени:
— админов, хотя это из работа.
— тестеров, катим обновления, новые правила selinux теоретически могут какую-нибудь существующую активность залочить.
Можно в следующий раз рассмотреть Tomoyo
В моем видении мира, на данный момент, нет места где использование SELinux было бы оправдано.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Часто задаваемые вопросы по SELinux (FAQ)