In questo tutorial imparerai cos'è SELinux e come correggere l'errore “Impossibile caricare la politica Selinux” che appare sui sistemi operativi CentOS.

Per prima cosa descriviamo brevemente la modalità di sicurezza di SELinux. Cos'è SELinux e che ruolo gioca nel sistema operativo Linux?

SELinux è un modulo di sicurezza del kernel che controlla l'accesso del software e degli utenti al sistema operativo. Rilasciato a metà degli anni 2000, SELinux è diventato presente su sempre più distribuzioni Linux nel corso degli anni.

L'attività di questo modulo consiste nella distribuzione e nel controllo delle politiche di sicurezza nel sistema, limitando l'accesso delle applicazioni a livello dei principali sottosistemi del kernel.

Questo meccanismo di sicurezza funziona indipendentemente dai tradizionali sistemi di controllo e blocco delle attività sospette presenti su Linux. Non può essere controllato attivamente dal superutente “root” e senza interazione con applicazioni o script di terze parti, SELinux fornisce stabilità al kernel.

La sicurezza di un sistema Linux senza questo modulo SELinux dipenderà automaticamente dalla correttezza della configurazione del kernel, dalle applicazioni con privilegi di esecuzione e dalle loro configurazioni. Un semplice errore in uno di questi elementi precedentemente citati può compromettere il corretto funzionamento dell'intero sistema.

In conclusione, SELinux può essere definito un vero e proprio guardiano dei sistemi operativi Linux, garantendone integrità, sicurezza e stabilità. Non confondere questo modulo con un antivirus o un firewall. E' totalmente diverso.

Gli utenti che utilizzano Linux per server Web e cloud sono ben consapevoli che SELinux può causare problemi durante l'esecuzione di applicazioni software privilegiate a livello di accesso e controllo del sistema.

SELinux può controllare le attività del sistema operativo per ogni singolo utente, applicazione e demone e applicare precise politiche e restrizioni di sicurezza. Questo può spesso rappresentare un problema per i server Web, dove la maggior parte dei processi software specifici dispongono di privilegi e interagiscono con il kernel del sistema operativo.

Chi ha deciso di disabilitare questo modulo del kernel spesso commette errori nel modificare le direttive, il che porta all'impossibilità di caricare SELinux al riavvio del sistema operativo. “Failed to load SELinux policy“.

Ho mostrato in a articolo su come disabilitare SELinux, per evitare di interrompere il processo inserito dal servizio NGINX in un server web.

# This file controls the state of SELinux on the system.
 # SELINUX= can take one of these three values:
 # enforcing - SELinux security policy is enforced.
 # permissive - SELinux prints warnings instead of enforcing.
 # disabled - No SELinux policy is loaded.
 SELINUX=permissive
 # SELINUXTYPE= can take one of three two values:
 # targeted - Targeted processes are protected,
 # minimum - Modification of targeted policy. Only selected processes are protected.
 # mls - Multi Level Security protection.
 SELINUXTYPE=disabled (WRONG)

Un errore che abbiamo commesso inavvertitamente e, poiché si trattava di un server remoto, la soluzione c'era reinstallazione completa del sistema operativo.

Se sei un po' più fortunato, puoi riparare SELinux solo se hai un DVD a portata di mano o la possibilità di avviare l'immagine ISO del sistema operativo in “rescue“.

Failed to load SELinux Policy si trova soprattutto sulle versioni CentOS 6, CentOS 7, RHEL 7.x.