Pada baris pertanyaan ini tentang StackOverflow dan kerumunan yang sangat berbeda yang kita miliki di sini, saya bertanya-tanya: apa alasan Anda untuk menonaktifkan SELinux (dengan asumsi kebanyakan orang masih melakukannya)? Apakah Anda ingin tetap diaktifkan? Apa anomali yang Anda alami dengan meninggalkan SELinux? Terlepas dari Oracle, vendor lain apa yang memberikan masalah sistem pendukung dengan SELinux diaktifkan?
Pertanyaan bonus: Adakah yang berhasil menjalankan Oracle pada RHEL5 dengan SELinux dalam menjalankan mode yang ditargetkan? Maksud saya, ketat akan menjadi luar biasa, tapi saya belum melakukan itu mungkin, jadi mari kita tetap dengan yang ditargetkan terlebih dahulu ;-)
Biasanya Anda lebih baik menjalankan SELinux di Permissive daripada menonaktifkannya sepenuhnya. Anda kemudian dapat memeriksa (melalui
audit2why
) setelah beberapa saat untuk melihat jenis pelanggaran apa yang akan ditolak selama penggunaan rutin Anda, dan membuat kebijakan khusus melaluiaudit2allow
apakah 'pelanggaran' tersebut merupakan kesalahan positif untuk pengaturan Anda.Saya telah menemukan perilaku SELinux pada sistem turunan non-Fedora secara signifikan lebih menyentuh daripada apa yang Anda dapatkan dengan sistem Fedora / RHEL pada umumnya.
Jika Anda belum melihatnya, Anda mungkin mendapati Panduan Pengguna Fedora SELinux mendidik.
sumber
Alasan untuk:
Alasan menentang:
Yang mengatakan jika Anda mempertimbangkan SELinux, saya merekomendasikan buku SELinux dengan Contoh .
Saya bekerja untuk perusahaan yang memiliki SELinux diaktifkan, dalam mode menegakkan, di setiap sistem. Kuncinya bagi kami adalah memahami dan menggunakan program audit2allow yang dapat digunakan untuk membuat aturan konteks baru.
Pertama, kami membuat templat dengan audit2allow, dan kemudian menggunakan skrip untuk membangunnya, seperti ini:
Skrip setup_semodule:
Ini membangun modul dari templat (file .te), menghasilkan paket, dan kemudian memuat modul.
Kami menggunakan Wayang untuk sistem manajemen konfigurasi kami, dan kami menulis konfigurasi untuk Wayang untuk mengelola semua ini.
Modul Boneka SELinux:
sumber
Alasan untuk mematikannya adalah karena dapat menyulitkan untuk debug.
Namun kami tidak mematikannya sekarang. Kami hampir selalu membuatnya berjalan. Saya kadang-kadang mematikannya untuk memverifikasi dengan cepat apakah SElinux adalah masalah atau tidak.
Jauh lebih mudah untuk debug sekarang, terutama jika Anda membuat diri Anda terbiasa dengan audit2allow. Anda tidak benar-benar perlu memahaminya dengan audit2allow, tetapi Anda dapat beberapa kali akhirnya membuka menipis lebih lebar daripada yang Anda pikirkan dengan audit2allow. Setelah mengatakan bahwa beberapa SELinux lebih baik daripada tidak sama sekali.
Saya tidak berarti seorang ahli SELinux dan hanya menggunakannya selama beberapa tahun. Saya masih tidak benar-benar memahami dasar-dasarnya, tetapi saya cukup tahu untuk menjalankan aplikasi, tetapi yang termasuk dengan distro dan hal-hal acak yang dikompilasi dari internet.
Hal utama yang saya punya untuk digunakan adalah
ls -lZ
(acara konteks SELinux),audit2allow
,chcon
,semodule
,getenforce
,setenforce
dan boolean. Dengan alat-alat itu saya telah berhasil mendapatkan setiap aplikasi yang saya butuhkan untuk berjalan di bawah SELinux.Saya menemukan salah satu masalah besar dengan debugging masalah SELinux ,, hanya mengingat untuk memeriksa masalah SELinux ketika saya memiliki masalah bijaksana yang tidak dapat dijelaskan. Biasanya saya butuh sedikit akal untuk pergi "h! Periksa SELinux !!".
Menurut halaman manual bind, SELinux jauh lebih aman daripada menjalankan bind di chroot jail. Banyak orang lain yang memiliki jauh lebih banyak petunjuk daripada saya juga merekomendasikannya sehingga saya menjalankannya secara membabi buta. Dan tersangka meskipun ada masalah sesekali, itu mungkin layak dilakukan.
sumber
Saya menonaktifkan SELinux untuk AppArmor , saya merasa lebih ramah dan lebih mudah dirawat daripada SELinux.
sumber
Tidak ada alasan untuk mematikannya ketika Anda dapat menjalankannya dalam mode Permissive. Ini tidak akan mengganggu aplikasi yang sedang berjalan dan masih akan memberikan pencatatan keamanan yang berguna. Satu-satunya pengecualian adalah tentang konteks pengguna: jika Anda mengubah antara pengguna yang berbeda yang hidup di dalam instance linux lain yang berjalan di chroot, Anda bisa memiliki masalah.
sumber
Linux SE tidak seputus asa tidak ramah seperti dulu, setidaknya itu tidak ada di distro yang didukung secara komersial seperti RHEL5. Sebagian besar Anda dapat membiarkannya, dan itu akan baik-baik saja dengan apa pun yang disediakan oleh RedHat. Dengan hal lain itu bisa menjadi variabel. Masalahnya adalah bahwa layanan profesional bekerja untuk mendapatkan aplikasi yang bekerja dengan SE Linux diaktifkan adalah aliran pendapatan yang bagus untuk perusahaan seperti RedHat dan Oracle, sehingga mereka tidak memiliki insentif untuk membuat semuanya berfungsi dengan baik ootb.
sumber