Вы отключите SELinux?

Ответ 1

Я сделал три или четыре года назад, когда у определенных политик было много подводных камней, и создание политики было слишком сложным, и у меня не было времени учиться. Конечно, это были не критические машины.

В настоящее время вся работа выполнена для доставки дистрибутивов с разумной политикой и tools и учебные пособия, которые помогают вам создавать, исправлять и определять политики, нет оправдания для его отключения.

Ответ 2

В прошлом году я работал в компании, где мы настраивали ее на "целевую" политику, включенную в CentOS 5.x. Это не мешало ни одному из кодов веб-приложений, над которыми работали наши разработчики, потому что Apache был в политике по умолчанию. Это вызвало некоторые проблемы для программного обеспечения, установленного из пакетов, отличных от Red Hat (или CentOS), но нам удалось обойти это с помощью инструмента управления конфигурацией, Puppet.

Мы использовали функцию шаблона Puppet для создания наших политик. См. SELinux Enhancements for Puppet, заголовок "Future stuff", пункт "Generation Policy".

Вот некоторые основные шаги из того, как мы это реализовали. Обратите внимание, кроме проверки audit2allow, все это было автоматизировано.

Создайте файл шаблона SELinux для некоторой службы с именем ${name}.

sudo audit2allow -m "${name}" -i /var/log/audit/audit.log > ${name}.te

Создайте script, /etc/selinux/local/${name}-setup.sh

SOURCE=/etc/selinux/local
BUILD=/etc/selinux/local

/usr/bin/checkmodule -M -m -o ${BUILD}/${name}.mod ${SOURCE}/${name}.te
/usr/bin/semodule_package -o ${BUILD}/${name}.pp -m ${BUILD}/${name}.mod
/usr/sbin/semodule -i ${BUILD}/${name}.pp

/bin/rm ${BUILD}/${name}.mod ${BUILD}/${name}.pp

Тем не менее, большинству людей лучше просто отключить SELinux и упрочить их систему с помощью других общепринятых основанных на консенсусе лучших практик, таких как Центры тестов интернет-безопасности (обратите внимание, что они рекомендуют SELinux: -)).

Ответ 3

Моя компания делает продукт CMS/интеграционной платформы. Многие из наших клиентов имеют устаревшие сторонние системы, которые по-прежнему имеют важные оперативные данные в них, и большинство из них хотят использовать эти системы, потому что они просто работают. Поэтому мы подключаем нашу систему к тому, чтобы извлекать данные для публикации или отчетности и т.д. Различными способами. Наличие тонны клиентских spesific файлов, работающих на каждом сервере, делает настройку SELinux должным образом трудной и, следовательно, дорогостоящей задачей.

Многие клиенты изначально хотят лучшего в безопасности, но когда они слышат смету для нашего интеграционного решения, слова "SELinux disabled" обычно появляются в плане проекта довольно быстро.

Это позор, так как защита в глубину - хорошая идея. Однако SELinux никогда не требуется для обеспечения безопасности, и это, похоже, является его падением. Когда клиент спрашивает: "Так вы можете сделать это безопасно без SELinux?", На что мы должны ответить? "Умм... мы не уверены"?

Мы можем, и мы это сделаем, но когда ад замерзает, и обнаруживается какая-то новая уязвимость, а обновления просто отсутствуют вовремя, а вашей системе не повезло, чтобы быть нулевой точкой... SELinux просто может спасти вашу задницу.

Но это тяжелая продажа.

Ответ 4

Я работал для крупного производителя компьютеров в поддержке третьего уровня RedHat Linux (а также двух других вкусов), работающих на серверах этой компании. В подавляющем большинстве случаев мы отключили SELinux. Я чувствую, что, если вам действительно нужно SeLinux, вы ЗНАЕТЕ, что вам это нужно, и можете конкретно указать, зачем вам это нужно. Когда это вам не нужно или не может четко сформулировать, почему, и оно включено по умолчанию, вы довольно быстро осознаете, что это боль в тылу. Идите со своим инстинктом кишки.

Ответ 5

SELinux требует внимания пользователей и предоставления разрешений вручную всякий раз, когда (ну, ну) у вас нет разрешения на что-то. Многие люди считают, что это мешает и отключает его.

В последней версии SELinux более удобен для пользователя, и есть даже разговоры об удалении возможности отключить его или скрыть его, чтобы только знающие пользователи знали, как это сделать - и предполагается, что именно пользователи - это именно те которые понимают последствия.

С SELinux существует проблема с цыпленком и яйцом: для того, чтобы все это время, вы, как пользователь, должны сообщать о проблемах разработчикам, чтобы они могли его улучшить. Но пользователи не любят использовать его до тех пор, пока оно не улучшится, и оно не улучшится, если не многие пользователи его используют.

Таким образом, он оставил ON по умолчанию в надежде, что большинство людей будут использовать его достаточно долго, чтобы сообщить хотя бы о некоторых проблемах, прежде чем отключить его.

В конце концов, это ваш вызов: вы ищете краткосрочное исправление или долгосрочное улучшение программного обеспечения, что приведет к устранению необходимости задавать такой вопрос в один прекрасный день.

Ответ 6

Я слышал, что все стало лучше, но я все же отключил его. Для серверов это не имеет никакого смысла, если вы не являетесь ISP или крупной корпорацией, желающей реализовать мелкозернистые средства контроля уровня доступа для нескольких локальных пользователей.

Используя его на веб-сервере, у меня было много проблем с разрешениями apache. Мне постоянно приходилось запускать,

chcon -R -h -t httpd_sys_content_t /var/www/html 

для обновления списков ACL при добавлении новых файлов. Я уверен, что это уже разрешено, но все же SELinux - это большая боль за ограниченную награду, которую вы получаете от ее включения при стандартном развертывании веб-сайта.

Ответ 7

К сожалению, я отключу SELinux большую часть времени, потому что большое количество сторонних приложений, таких как Oracle, не очень хорошо работает с включенным SELinux и/или не поддерживается на платформах, на которых работает SELinux.

Обратите внимание, что для продукта Satellite Satellite Red Hat требуется также отключить SELinux, что, опять же, к сожалению, много говорит о трудностях, с которыми люди запускают сложные приложения на платформах с поддержкой SELinux.

Советы по использованию, которые могут или не могут быть полезны для вас: SELinux можно включить и выключить во время выполнения, используя setenforce (используйте getenforce для проверки текущего состояния). restorecon может быть полезен в ситуациях, когда chcon громоздкий, но ymmv.

Ответ 8

Я не отключу его, но есть некоторые проблемы.

Некоторые приложения не очень хорошо работают с ним.

Например, я считаю, что я разрешил smartd пытаться отслеживать мои рейдовые диски s.m.a.r.t. статус, но selinux запутался бы в новые /dev/sda* узлы, созданные при загрузке (я думаю, что проблема была)

Вам нужно загрузить источник в правила, чтобы понять вещи.

Просто отметьте /var/log/messages для сообщений с "avc denied", и вы может декодировать то, что отрицается.

google "selinux faq", и вы найдете файл fedora selinux faq, который будет расскажите, как работать с этими проблемами.

Ответ 9

Да. Это мозг мертв. Это может привести к поломке стандартных демонов, которые практически невозможно диагностировать. Он также может закрыть дверь, но оставить окно открытым. То есть, по какой-то причине в новых установках CentOS он блокировал smbd, начиная с "/etc/init.d/smb". Но он не блокировал его при запуске при вызове как "sh/etc/init.d/smb" или "smbd -D" или перемещении файла init.d/smb в другой каталог, из которого он запускал smbd просто хорошо.

Так что все, что он думал, чтобы защитить наши системы - сломав их - это даже не было сделано последовательно. Консультируя некоторых серьезных гуру CentOS, они также не понимают несоответствий своего поведения. Он предназначен для того, чтобы вы чувствовали себя в безопасности. Но это фасад безопасности. Это заменит реальную работу по блокировке безопасности системы.

Ответ 10

Я отключу его во всех моих блоках cPanel, так как cPanel не будет работать с ним.

Ответ 11

У меня не так много возможностей внести свой вклад, но, поскольку он остался без ответа, я решил, что я брошу свои два цента.

Лично я отключу его в dev-блоках и когда я имею дело с несущественными вещами. Когда я занимаюсь чем-либо производством или нуждаюсь в лучшей безопасности, я оставляю его и/или трачу время на его настройку, чтобы обрабатывать все, что мне нужно.

Погода, или вы не используете ее, действительно сводится к вашим потребностям, но она была создана по какой-то причине, поэтому подумайте над ее использованием, а не всегда отключите ее.

Ответ 12

Я никогда не отключил selinux, мой подрядчик ИМЕЛ его использовать. И если/когда какой-то демон (с лицензией OSS btw) не имеет политики безопасности, обязательно писать (хороший). Это связано не с тем, что я считаю, что selinux - неуязвимый MAC на Linux - бесполезный пример, но потому, что он значительно увеличивает безопасность операционной системы. Для веб-приложения лучшим решением для безопасности OSS является mod_security: поэтому я использую оба. Большая часть проблемы с selinux находится на небольшом или составном документе, хотя в последние годы ситуация значительно улучшилась.

Ответ 13

Ящик CENTOS, который у меня был как машина для разработки, включил его, и я отключил его. Это останавливало некоторые вещи, которые я пытался сделать при тестировании веб-приложения, которое я разрабатывал. Система была (разумеется) за брандмауэром, который полностью блокировал доступ из-за пределов нашей локальной сети и имел много другой безопасности, поэтому я чувствовал себя достаточно безопасным даже при отключении SELinux.

Ответ 14

В разделе "Красная шляпа" вы можете отредактировать /etc/sysconfig/selinux и установить SELINIX=disabled.

Я думаю, что во всех версиях Linux вы можете добавить selinux=0 noselinux в строку загрузки в файле lilo.conf или grub.conf.

Ответ 15

Если он включен по умолчанию, я оставлю его до тех пор, пока он не сломает что-нибудь, а затем выключится.

Лично я вижу, что это не обеспечивает никакой безопасности, и я не буду беспокоиться об этом.