У цьому підручнику ви дізнаєтесь, що таке Selinux та як ви вирішуєте помилку “Не вдалося завантажити політику SELINUX” який з’являється в операційних системах CentOS.
Спочатку давайте коротко опишемо режим безпеки SELinux. Що таке SELinux і яку роль він відіграє в операційній системі Linux?
SELinux — це модуль безпеки ядра, який контролює програмне забезпечення та доступ користувачів до операційної системи. Випущений десь у середині 2000-х років, SELinux став присутнім у все більшій кількості дистрибутивів Linux протягом багатьох років.
Діяльність цього модуля полягає в розподілі та контролі політик безпеки в системі, обмеження доступу додатків на рівні основних підсистем ядра.
Цей механізм безпеки працює незалежно від традиційних систем контролю та блокування підозрілих дій у Linux. Не може активно контролюватись суперкористувачем “root” і без взаємодії з програмами чи сторонніми сценаріями SELinux забезпечує стабільність ядра.
Безпека системи Linux без цього модуля SELinux автоматично залежатиме від правильності конфігурації ядра, програм із запущеними привілеями та їх конфігурацій. Проста помилка в одному з цих раніше згаданих елементів може поставити під загрозу правильне функціонування всієї системи.
Підсумовуючи, SELinux можна назвати справжнім охоронцем операційних систем Linux, що забезпечує цілісність, безпеку та стабільність. Не плутайте цей модуль з антивірусом або брандмауером. Це зовсім інше.
Користувачі, які використовують Linux для веб-серверів і хмарних серверів, добре знають, що SELinux може викликати проблеми під час запуску привілейованих програмних програм на рівні доступу до системи та контролю.
SELinux може контролювати діяльність операційної системи для кожного окремого користувача, програми та демона, а також застосовувати точні політики безпеки та обмеження. Це часто може бути проблемою для веб-серверів, де більшість конкретних програмних процесів мають привілеї та взаємодіють із ядром операційної системи.
Ті, хто вирішив відключити цей модуль ядра, часто допускають помилки при зміні директив, що призводить до неможливості завантаження SELinux при перезавантаженні операційної системи. “Failed to load SELinux policy“.
Я показав в стаття про те, як вимкнути SELinux, щоб запобігти перериванню процесу, розміщеного службою NGINX на веб-сервері.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)Помилка, яку ми ненавмисно зробили, і оскільки це був віддалений сервер, рішення було повна перевстановлення операційної системи.
Якщо вам пощастить трохи більше, ви зможете виправити SELinux, лише якщо у вас під рукою є DVD або можливість завантажити ISO-образ операційної системи в “rescue“.
Failed to load SELinux Policy зустрічається особливо на версіях CentOS 6, CentOS 7, RHEL 7.x.
Дякуємо за статтю, ви зрозуміли першопричину, але пропустили одне рішення: фактично додати selinux=0 у запис ОС, запропонований grub, достатньо, щоб вимкнути selinux і зробити ОС знову завантажувальною.
Дякую за це рішення!
selinux=0Я думаю, що на момент написання статті ця опція була недоступна. Я можу помилятися. Дякуємо за рішення!