Intai de toate, sa facem o scurta descriere a SELinux. Ce este SELinux si care este rolul pe care-l joaca pe sistemul de operare Linux?
SELinux este un modul de securitate kernel, ce are rol de a controla accesul aplicatiilor software si a utilizatorilor, pe sistemul de opearare. Lansat undeva pe la jumatatea lui 2000, SELinux a devenit de-a lungul anilor prezent pe tot mai multe distributii de Linux.
Activitatea acestui modul consta in repartizarea si controlul politicilor de securitate in sistem, limitand accesul aplicatiilor la nivel de subsisteme majore ale kernel.
Acest mecanism de securitate functioneaza independent de sistemele traditionale de control si blocare a activitatilor suspecte, prezente pe Linux. Neputand fi controlat activ de superuser “root” si fara interactiune cu aplicatii sau terte scripturi, SELinux ofera stabilitate nucleului.
Securitatea unui sistem Linux fara acest modul SELinux, va depinde automat de corectitudinea configurarii nucleului, a aplicatiilor cu privilegii de rulare si ale configuratiilor lor. . O simpla eroare a unuia dintre aceste elemente mentionate anterior, poate compromite functionarea corecta a intregului sistem.
In concluzie, SELinux poate fi numit un adevarat gardian al sistemelor de operare Linux, ce asigura integritate, securitate si stabilitate. A nu se confunda acest modul cu un antivirus sau un firewall. Este total diferit.
Utilizatorii care folosesc Linux pentru servere web si de cloud, stiu bine ca SELinux poate pune probleme in rularea unor aplicatii software cu privilegii la nivel de acces si control system.
SELinux poate controla activitatile sistemului de operare pentru fiecare user, aplicatie si daemon in parte, si aplica politici si restrictii de securitate precise. Aceasta poate fi de multe ori o problema pentru serverele web, unde majoritatea proceselor software-ului specific au privilegii si interactioneaza cu kernel-ul sistemului de operare.
Cei care s-au decis sa dezactiveze acest modul de kernel, de multe ori gresec in modificarea directivei, ceea ce duce de imposibilitatea de a incarca SELinux la repornirea sistemului de operare. “Failed to load SELinux policy“.
Am aratat intr-un articol cum poate fi dezactivat SELinux, pentru a preveni intreruperea procesului pus de NGINX pe un web server.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted – Targeted processes are protected,
# minimum – Modification of targeted policy. Only selected processes are protected.
# mls – Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)
O eroare pe care din neatentie am facut-o si noi, iar fiind vorba de un server la distanta, rezolvarea a stat in reinstalarea completa a sistemului de operare. Daca sunteti ceva mai norocosi, puteti corecta SELinux numai daca aveti la indemana un DVD sau posibilitatea a incarca imaginea ISO a sistemului de operare in modul “rescue”.
Failed to load SELinux Policy este intalnita in special pe CentOS 6 si CentOS 7, RHEL 7.x.
Thanks for the article, you get the root cause but missed one solution: actually add selinux=0 in the OS entry proposed by grub is enough to disable selinux and made the OS bootable again.
Thanks for this solution!
selinux=0I think that at the time I wrote the article, this option was not available. I may be mistaken. Thanks for the solution!