В този урок ще научите какво е SELinux и как да поправите грешката “Неуспешно зареждане на правилата на SELinux” който се появява на операционни системи CentOS.

Първо, нека опишем накратко режима на защита на SELinux. Какво е SELinux и каква роля играе в операционната система Linux?

SELinux е модул за сигурност на ядрото, който контролира софтуера и потребителския достъп до операционната система. Издаден някъде в средата на 2000-те, SELinux присъства във все повече дистрибуции на Linux през годините.

Дейността на този модул се състои в разпространение и контрол на политиките за сигурност в системата, ограничаващи достъпа на приложенията на ниво основни подсистеми на ядрото.

Този защитен механизъм работи независимо от традиционните системи за контрол и блокиране на подозрителни дейности, налични в Linux. Не може да се контролира активно от суперпотребителя “root” и без взаимодействие с приложения или скриптове на трети страни, SELinux осигурява стабилност на ядрото.

Сигурността на Linux система без този SELinux модул автоматично ще зависи от коректността на конфигурацията на ядрото, приложенията с работещи привилегии и техните конфигурации. Проста грешка в един от тези елементи, споменати по-рано, може да компрометира правилното функциониране на цялата система.

В заключение, SELinux може да се нарече истински пазител на Linux операционните системи, гарантирайки цялостност, сигурност и стабилност. Не бъркайте този модул с антивирус или защитна стена. Съвсем различно е.

Потребителите, използващи Linux за уеб и облачни сървъри, са наясно, че SELinux може да причини проблеми при стартиране на привилегировани софтуерни приложения на ниво достъп и контрол на системата.

SELinux може да контролира дейностите на операционната система за всеки отделен потребител, приложение и демон и да налага точни политики и ограничения за сигурност. Това често може да бъде проблем за уеб сървърите, където повечето специфични софтуерни процеси имат привилегии и взаимодействат с ядрото на операционната система.

Тези, които са решили да деактивират този модул на ядрото, често правят грешки при модифицирането на директивите, което води до невъзможност за зареждане на SELinux при рестартиране на операционната система. “Failed to load SELinux policy“.

Показах в a статия как да деактивирате SELinux, за да се предотврати прекъсването на процеса, поставен от услугата NGINX в уеб сървър.

# This file controls the state of SELinux on the system.
 # SELINUX= can take one of these three values:
 # enforcing - SELinux security policy is enforced.
 # permissive - SELinux prints warnings instead of enforcing.
 # disabled - No SELinux policy is loaded.
 SELINUX=permissive
 # SELINUXTYPE= can take one of three two values:
 # targeted - Targeted processes are protected,
 # minimum - Modification of targeted policy. Only selected processes are protected.
 # mls - Multi Level Security protection.
 SELINUXTYPE=disabled (WRONG)

Грешка, която направихме по невнимание и тъй като беше отдалечен сървър, решението беше пълно преинсталиране на операционната система.

Ако имате малко повече късмет, можете да поправите SELinux само ако имате под ръка DVD или възможността да заредите ISO образа на операционната система в “rescue“.

Failed to load SELinux Policy намира се особено на версиите CentOS 6, CentOS 7, RHEL 7.x.