Šajā apmācībā jūs uzzināsiet, kas ir SELinux un kā novērst kļūdu “Neizdevās ielādēt Selinux politiku” kas parādās CentOS operētājsistēmās.

Vispirms īsi aprakstīsim SELinux drošības režīmu. Kas ir SELinux un kādu lomu tas spēlē Linux operētājsistēmā?

SELinux ir kodola drošības modulis, kas kontrolē programmatūru un lietotāju piekļuvi operētājsistēmai. SELinux, kas tika izlaists 2000. gadu vidū, gadu gaitā ir kļuvis pieejams arvien vairāk Linux izplatījumos.

Šī moduļa darbība sastāv no drošības politiku izplatīšanas un kontroles sistēmā, ierobežojot lietojumprogrammu piekļuvi kodola galveno apakšsistēmu līmenī.

Šis drošības mehānisms darbojas neatkarīgi no tradicionālajām aizdomīgo darbību kontroles un bloķēšanas sistēmām, kas atrodas operētājsistēmā Linux. Superlietotājs nevar aktīvi kontrolēt “root” un bez mijiedarbības ar lietojumprogrammām vai trešo pušu skriptiem SELinux nodrošina kodola stabilitāti.

Linux sistēmas drošība bez šī SELinux moduļa automātiski būs atkarīga no kodola konfigurācijas pareizības, lietojumprogrammām ar darbības privilēģijām un to konfigurācijām. Vienkārša kļūda vienā no iepriekš minētajiem elementiem var apdraudēt visas sistēmas pareizu darbību.

Noslēgumā SELinux var saukt par īstu Linux operētājsistēmu sargu, kas nodrošina integritāti, drošību un stabilitāti. Nejauciet šo moduli ar pretvīrusu vai ugunsmūri. Tas ir pavisam savādāk.

Lietotāji, kas izmanto Linux tīmekļa un mākoņa serveriem, labi apzinās, ka SELinux var radīt problēmas, palaižot priviliģētas programmatūras lietojumprogrammas sistēmas piekļuves un kontroles līmenī.

SELinux var kontrolēt operētājsistēmas darbības katram atsevišķam lietotājam, lietojumprogrammai un dēmonam, kā arī ieviest precīzas drošības politikas un ierobežojumus. Tā bieži var būt problēma tīmekļa serveriem, kur lielākajai daļai specifisko programmatūras procesu ir privilēģijas un tie mijiedarbojas ar operētājsistēmas kodolu.

Tie, kas nolēma atspējot šo kodola moduli, bieži pieļauj kļūdas, mainot direktīvas, kā rezultātā nevar ielādēt SELinux, kad operētājsistēma tiek restartēta. “Failed to load SELinux policy“.

Es parādīju a raksts par to, kā atspējot SELinux, lai novērstu procesa pārtraukšanu, ko NGINX pakalpojums ievieto tīmekļa serverī.

# This file controls the state of SELinux on the system.
 # SELINUX= can take one of these three values:
 # enforcing - SELinux security policy is enforced.
 # permissive - SELinux prints warnings instead of enforcing.
 # disabled - No SELinux policy is loaded.
 SELINUX=permissive
 # SELINUXTYPE= can take one of three two values:
 # targeted - Targeted processes are protected,
 # minimum - Modification of targeted policy. Only selected processes are protected.
 # mls - Multi Level Security protection.
 SELINUXTYPE=disabled (WRONG)

Kļūda, kuru mēs netīšām pieļāvām, un tā kā tas bija attālais serveris, risinājums bija pilnīga operētājsistēmas pārinstalēšana.

Ja jums paveicas, varat labot SELinux tikai tad, ja jums ir pieejams DVD vai iespēja palaist operētājsistēmas ISO attēlu “rescue“.

Failed to load SELinux Policy tas ir īpaši atrodams versijās CentOS 6, CentOS 7, RHEL 7.x.