În acest tutorial înveți ce este SELinux și cum rezolvi eroarea “Failed to load SELinux Policy” care apare pe sistemele de operare CentOS.
În primul rând, să facem o scurtă descriere a modului de securitate SELinux. Ce este SELinux și care este rolul pe care-l joacă pe sistemul de operare Linux?
SELinux este un modul de securitate kernel, ce are rolul de a controla accesul aplicațiilor software și a utilizatorilor pe sistemul de operare. Lansat undeva pe la jumătatea lui 2000, SELinux a devenit de-a lungul anilor prezent pe tot mai multe distribuții de Linux.
Activitatea acestui modul constă în repartizarea și controlul politicilor de securitate în sistem, limitând accesul aplicațiilor la nivel de subsisteme majore ale kernel-ului.
Acest mecanism de securitate funcționează independent de sistemele tradiționale de control și blocare a activităților suspecte, prezente pe Linux. Neputând fi controlat activ de superuser “root” și fără interacțiune cu aplicații sau terțe scripturi, SELinux oferă stabilitate nucleului.
Securitatea unui sistem Linux fără acest modul SELinux va depinde automat de corectitudinea configurării nucleului, a aplicațiilor cu privilegii de rulare și a configurațiilor lor. O simplă eroare a unuia dintre aceste elemente menționate anterior poate compromite funcționarea corectă a întregului sistem.
În concluzie, SELinux poate fi numit un adevărat gardian al sistemelor de operare Linux, asigurând integritate, securitate și stabilitate. A nu se confunda acest modul cu un antivirus sau un firewall. Este total diferit.
Utilizatorii care folosesc Linux pentru servere web și de cloud știu bine că SELinux poate pune probleme în rularea unor aplicații software cu privilegii la nivel de acces și control al sistemului.
SELinux poate controla activitățile sistemului de operare pentru fiecare utilizator, aplicație și daemon în parte și poate aplica politici și restricții de securitate precise. Aceasta poate fi de multe ori o problemă pentru serverele web, unde majoritatea proceselor software-ului specific au privilegii și interacționează cu kernel-ul sistemului de operare.
Cei care s-au decis să dezactiveze acest modul de kernel greșesc adesea în modificarea directivelor, ceea ce duce la imposibilitatea de a încărca SELinux la repornirea sistemului de operare. “Failed to load SELinux policy“.
Am arătat într-un articol cum poate fi dezactivat SELinux, pentru a preveni întreruperea procesului pus de serviciul NGINX într-un server web.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)O eroare pe care din neatenție am facut-o și noi, iar fiind vorba de un server la distanță, rezolvarea a stat în reinstalarea completă a sistemului de operare.
Dacă sunteti ceva mai norocoși, puteți corecta SELinux numai dacă aveti la îndemănă un DVD sau posibilitatea a încărca imaginea ISO a sistemului de operare în modul “rescue“.
Failed to load SELinux Policy este intalnita in special pe versiunile CentOS 6, CentOS 7, RHEL 7.x.
Thanks for the article, you get the root cause but missed one solution: actually add selinux=0 in the OS entry proposed by grub is enough to disable selinux and made the OS bootable again.
Thanks for this solution!
selinux=0I think that at the time I wrote the article, this option was not available. I may be mistaken. Thanks for the solution!