Що може піти не так, якщо вимкнути selinux [закрито]

Ми успадкували купу використовуваних серверів від іншої команди. Деякі з них увімкнули SELinux, а деякі ні. Через SELinux у нас виникають проблеми з налаштуванням пароля ssh, нашого веб-сервера тощо. На цьому сайті stackexchange ми знайшли роботу , яку потрібно запустити:

restorecon -R -v ~/.ssh

Однак, оскільки нам не потрібен запуск SELinux для того, що ми робимо, може бути простіше вимкнути його, ніж нам пам’ятати, щоб усі запускали вищезгаданий cmd у будь-якому режимі, який потребує дозволів.

Чи можемо ми відключити SELinux без будь-яких наслідків у дорозі чи краще просто переглянути зображення на сервері? Одне зауважити; наша ІТ-група дійсно зайнята, тому повторне зображення сервера не входить до їхнього списку, якщо це абсолютно не потрібно (потрібен дуже хороший діловий випадок) ... або хтось підкуповує свого боса пляшкою скотчу чи віскі.

ОНОВЛЕННЯ: Дякую за всі пропозиції та поради. Усі ці сервери будуть використовуватися як внутрішні сервери розробників. Зовнішній доступ до цих машин не буде, тому безпека нас не хвилює. Наші поточні сервери, якими ми користуємось усі (наскільки мені відомо), не ввімкнено SELinux. Деякі з тих, кого тільки що придбав мене менеджер, і ті, кого ми дивимось на відключення, тому все в нашому кластері є єдиним.

SELinux - це функція безпеки операційної системи. Він покликаний захистити деякі частини сервера від інших частин.

Наприклад, якщо ви запускаєте веб-сервер і маєте якийсь "вразливий" код, який дозволяє зловмиснику виконувати довільні команди, то SELinux може допомогти пом'якшити це, запобігаючи доступу вашого веб-сервера до файлів, які він заборонено бачити.

Тепер ви можете відключити SELinux, і він нічого не повинен зламати. Сервер буде продовжувати працювати як завжди.

Але ви відключите одну з функцій безпеки.

SELinux має різні погляди. У багатьох випадках деякі програми не грають добре з SELinux, тому це рішення є суперечливим (Oracle є одним із прикладів).
Як правило, SELinux - це захисний механізм, який може поставити ще одну перешкоду на шляху поганого хлопця, який хоче підривати вашу систему.

У своїх попередніх ролях системного адміністратора великих компаній ... я взагалі відключив SELinux. У мене не було часу відстежувати всі помилки SELinux у всіх системах, якими користуються користувачі, розробники та менеджери.

Перш ніж вимкнути речі, ви можете почати, відновивши файли в системі назад до того, якими вони повинні бути. Найпростіший знайдений нами спосіб - це введення команди:

 # /sbin/fixfiles onboot

АБО

 # touch /.autorelabel

Потім перезавантажте систему і зачекайте, оскільки система займе приблизно стільки ж часу, щоб перевірити та скинути помилкові мітки SELinux в системі. Після цього вам може бути в порядку, оскільки він виправляє та виправляє невідповідні мітки SELinux, які, можливо, були змінені до вашої спроби адміністрації сервера.

Однак, якщо цього не відбудеться, системі не завдасть шкоди, якщо НЕ матиме SELinux у режимі примусового виконання. Це просто додатковий шар захисту.

Простіше кажучи, відключення механізмів обов'язкового контролю доступу (MAC), таких як SELinux , не є хорошою ідеєю і може поставити вас у несприятливий стан безпеки, якщо поганий хлопець успішно обходить контрольований доступ до імені, реалізований за допомогою дискреційного контролю доступу (DAC).

Якби це я, я би робив щось подібне

semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy

щоб бути впевненим у тому, що мітка типу призначається рекурсивно від~/.ssh

Взагалі кажучи, ви не повинні відключати SELinux. Є інструменти, які можуть допомогти вам зрозуміти, що пішло не так. Моє улюблене - використання прикладів сирени:

sealert -a /var/log/audit/audit.log

OFC ви завжди можете встановити SELinux в дозвольному режимі для налагодження, але утримання SELinux відключеним або дозвільним викладається як серйозний недолік безпеки Red Hat.