เกิดอะไรขึ้นถ้าเราปิดใช้งาน selinux

เราสืบทอดเซิร์ฟเวอร์ที่ใช้แล้วจำนวนมากจากทีมอื่น บางคนเปิดใช้งาน SELinux แล้วบางตัวไม่เปิดใช้งาน เนื่องจาก SELinux เรากำลังประสบปัญหาในการตั้งค่ารหัสผ่าน ssh แบบไม่ใช้เว็บเซิร์ฟเวอร์ของเรา ฯลฯ เราพบว่ามีการแก้ไขในไซต์ stackexchange นี้ซึ่งจะทำงาน:

restorecon -R -v ~/.ssh

อย่างไรก็ตามเนื่องจากเราไม่ต้องการให้ SELinux ทำงานในสิ่งที่เราทำมันอาจจะเป็นการง่ายกว่าที่เราจะจำไว้ว่าให้ทุกคนใช้คำสั่ง cmd ข้างต้นกับสิ่งที่ dir ต้องการการอนุญาต

เราสามารถปิด SELinux โดยไม่มีผลกระทบใด ๆ ตามถนนหรือดีกว่าเพียงแค่ทำการอิมเมจเซิร์ฟเวอร์อีกครั้งหรือไม่ สิ่งหนึ่งที่ควรทราบ; กลุ่มไอทีของเรายุ่งมากดังนั้นการถ่ายภาพเซิร์ฟเวอร์ไม่สูงในรายการเว้นแต่ว่าจำเป็นจริงๆ (ต้องใช้กรณีธุรกิจที่ดีมาก) ... หรือใครบางคนติดสินบนเจ้านายด้วยขวดสก๊อตหรือวิสกี้

อัปเดต: ขอบคุณสำหรับคำแนะนำและคำแนะนำของทุกคน เซิร์ฟเวอร์เหล่านี้ทั้งหมดจะถูกใช้เป็นเซิร์ฟเวอร์ dev ภายใน จะไม่มีการเข้าถึงเครื่องเหล่านี้จากภายนอกดังนั้นการรักษาความปลอดภัยจึงไม่เป็นปัญหาสำหรับเรา เซิร์ฟเวอร์ปัจจุบันของเราที่เราใช้ทั้งหมด (อย่างสุดความรู้) ไม่ได้เปิดใช้งาน SELinux บางส่วนที่ผู้จัดการของฉันเพิ่งได้รับทำได้และสิ่งเหล่านี้คือสิ่งที่เรากำลังมองหาเพื่อปิดการใช้งาน

SELinux เป็นคุณสมบัติความปลอดภัยของระบบปฏิบัติการ มันถูกออกแบบมาเพื่อช่วยปกป้องบางส่วนของเซิร์ฟเวอร์จากส่วนอื่น ๆ

ตัวอย่างเช่นหากคุณเรียกใช้เว็บเซิร์ฟเวอร์และมีรหัส "ความเสี่ยง" ที่อนุญาตให้ผู้โจมตีเรียกใช้คำสั่งโดยพลการ SELinux สามารถช่วยบรรเทาปัญหานี้ได้โดยการป้องกันไม่ให้เว็บเซิร์ฟเวอร์ของคุณเข้าถึงไฟล์

ตอนนี้คุณสามารถปิดการใช้งาน SELinux และไม่ควรทำลายอะไรเลย เซิร์ฟเวอร์จะทำงานต่อไปตามปกติ

แต่คุณจะต้องปิดการใช้งานหนึ่งในคุณสมบัติด้านความปลอดภัย

มีมุมมองที่แตกต่างกันของ SELinux ในหลายกรณีบางแอปพลิเคชั่นเล่นได้ไม่ดีกับ SELinux ดังนั้นการตัดสินใจครั้งนี้จึงเป็นสิ่งที่สงสัย (Oracle เป็นหนึ่งในตัวอย่าง)
โดยทั่วไปแล้ว SELinux เป็นกลไกการป้องกันที่จะทำให้เกิดอุปสรรคอีกอย่างในทางของคนเลวที่ต้องการทำลายระบบของคุณ

ในบทบาทก่อนหน้าของฉันในฐานะผู้ดูแลระบบของ บริษัท ขนาดใหญ่ ... ฉันปิดใช้งาน SELinux โดยทั่วไปแล้ว ฉันไม่มีเวลาติดตามข้อผิดพลาด SELinux ทั้งหมดในระบบทั้งหมดที่ผู้ใช้นักพัฒนาและผู้จัดการใช้

ก่อนที่จะปิดการใช้งานสิ่งต่าง ๆ คุณอาจต้องการเริ่มต้นด้วยการติดตั้งไฟล์ในระบบกลับไปเป็นสิ่งที่ควรเป็น วิธีที่ง่ายที่สุดที่ฉันค้นพบคือการป้อนคำสั่ง:

 # /sbin/fixfiles onboot

หรือ

 # touch /.autorelabel

จากนั้นรีบูทและรอให้ระบบใช้เวลาในการตรวจสอบและรีเซ็ตเลเบล SELinux ที่ผิดปกติในระบบ หลังจากนั้นคุณอาจตกลงเพราะแก้ไขและแก้ไขป้ายกำกับ SELinux ที่ไม่สอดคล้องซึ่งอาจมีการแก้ไขก่อนที่จะพยายามจัดการเซิร์ฟเวอร์ของคุณ

อย่างไรก็ตามหากไม่เป็นเช่นนั้นระบบจะไม่ได้รับอันตรายจากการไม่มี SELinux ในโหมดบังคับใช้ มันเป็นเพียงชั้นป้องกันเพิ่มเติม

เพียงแค่วางการปิดใช้งานกลไกบังคับควบคุมการเข้าใช้ (MAC) อย่างSELinuxไม่ใช่ความคิดที่ดีและอาจทำให้คุณเสียเปรียบด้านความปลอดภัยหากคนไม่ดีประสบความสำเร็จในการหลบเลี่ยงการควบคุมการเข้าถึงโดยใช้ชื่อตามที่กำหนดไว้

ถ้าเป็นฉันฉันจะทำอะไรบางอย่าง

semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy

เพื่อความมั่นใจเป็นพิเศษเกี่ยวกับประเภทของป้ายกำกับที่กำหนดซ้ำ~/.ssh

โดยทั่วไปคุณไม่ควรปิดการใช้งาน SELinux มีเครื่องมือที่อาจช่วยให้คุณเข้าใจสิ่งที่ผิดพลาด สิ่งที่ฉันชอบคือการใช้งานตัวอย่าง sealert:

sealert -a /var/log/audit/audit.log

OFC คุณสามารถตั้งค่า SELinux ในโหมดอนุญาตสำหรับการดีบักได้ตลอดเวลา แต่การสอนให้ SELinux ถูกปิดการใช้งานหรือได้รับอนุญาตนั้นเป็นข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงโดย Red Hat