In questo tutorial imparerai cos'è SELinux e come correggere l'errore “Impossibile caricare la politica Selinux” che appare sui sistemi operativi CentOS.

Per prima cosa descriviamo brevemente la modalità di sicurezza di SELinux. Cos'è SELinux e che ruolo gioca nel sistema operativo Linux?

SELinux è un modulo di sicurezza del kernel che controlla l'accesso del software e degli utenti al sistema operativo. Rilasciato a metà degli anni 2000, SELinux è diventato presente su sempre più distribuzioni Linux nel corso degli anni.

L'attività di questo modulo consiste nella distribuzione e nel controllo delle politiche di sicurezza nel sistema, limitando l'accesso delle applicazioni a livello dei principali sottosistemi del kernel.

Acest mecanism de securitate funcționează independent de sistemele tradiționale de control și blocare a activităților suspecte, prezente pe Linux. Neputând fi controlat activ de superuser “root” și fără interacțiune cu aplicații sau terțe scripturi, SELinux oferă stabilitate nucleului.

Securitatea unui sistem Linux fără acest modul SELinux va depinde automat de corectitudinea configurării nucleului, a aplicațiilor cu privilegii de rulare și a configurațiilor lor. O simplă eroare a unuia dintre aceste elemente menționate anterior poate compromite funcționarea corectă a întregului sistem.

In conclusione, SELinux può essere definito un vero e proprio guardiano dei sistemi operativi Linux, garantendone integrità, sicurezza e stabilità. Non confondere questo modulo con un antivirus o un firewall. E' totalmente diverso.

Gli utenti che utilizzano Linux per server Web e cloud sono ben consapevoli che SELinux può causare problemi durante l'esecuzione di applicazioni software privilegiate a livello di accesso e controllo del sistema.

SELinux può controllare le attività del sistema operativo per ogni singolo utente, applicazione e demone e applicare precise politiche e restrizioni di sicurezza. Questo può spesso rappresentare un problema per i server Web, dove la maggior parte dei processi software specifici dispongono di privilegi e interagiscono con il kernel del sistema operativo.

Chi ha deciso di disabilitare questo modulo del kernel spesso commette errori nel modificare le direttive, il che porta all'impossibilità di caricare SELinux al riavvio del sistema operativo. “Failed to load SELinux policy“.

Ho mostrato in a articolo su come disabilitare SELinux, pentru a preveni întreruperea procesului pus de serviciul NGINX într-un server web.

# This file controls the state of SELinux on the system.
 # SELINUX= can take one of these three values:
 # enforcing - SELinux security policy is enforced.
 # permissive - SELinux prints warnings instead of enforcing.
 # disabled - No SELinux policy is loaded.
 SELINUX=permissive
 # SELINUXTYPE= can take one of three two values:
 # targeted - Targeted processes are protected,
 # minimum - Modification of targeted policy. Only selected processes are protected.
 # mls - Multi Level Security protection.
 SELINUXTYPE=disabled (WRONG)

O eroare pe care din neatenție am facut-o și noi, iar fiind vorba de un server la distanță, rezolvarea a stat în reinstalarea completă a sistemului de operare.

Dacă sunteti ceva mai norocoși, puteți corecta SELinux numai dacă aveti la îndemănă un DVD sau posibilitatea a încărca imaginea ISO a sistemului de operare în modul “rescue“.

Failed to load SELinux Policy este intalnita in special pe versiunile CentOS 6, CentOS 7, RHEL 7.x.