Я недавно обнаружил, что selinux - это disabled, но в файле конфигурации указано selinux enforcing установлен режим. Я читал о возможностях отключения selinux. Подозреваю по ядру. Но я не могу найти, что мне делать, чтобы решить эту проблему. Боюсь что-либо трогать, потому что система работает удаленно. Моя связь между системой и мной - это только безопасная оболочка. Между мной и сервером есть несколько континентов. Итак, мне нужно решить эту проблему, не делая сервер недоступным :) Что мне делать?
Информация о сервере:
Centos 6.5
Linux 2.6.32-042stab068.8 #1 SMP Fri Dec 7 17:06:14 MSK 2012 i686 i686 i386 GNU/Linux
Сервер работает на VPS и так странно настроен. Я даже не определяю, какой загрузчик установлен, чтобы проверить конфигурацию selinux в загрузчике.
Перегородки (согласно mtab):
/dev/simfs / simfs rw,relatime 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
none /dev devtmpfs rw,relatime,mode=755 0 0
none /dev/pts devpts rw,relatime,gid=5,mode=620,ptmxmode=000 0 0
none /dev/shm tmpfs rw,relatime 0 0
none /proc/sys/fs/binfmt_misc binfmt_misc rw,relatime 0 0
РЕДАКТИРОВАТЬ: К сожалению, я узнал, что ядро на сервере не поддерживает Selinux. Поскольку он специализируется на OpenVZ.
Вы сказали, что виртуальная машина основана на OpenVZ. OpenVZ не поддерживает SELinux из-за того, как работают контейнеры. Этого нет в ядре, поэтому на самом деле он не применяется. Я бы отключил конфигурацию, как рекомендовано в документации. Ваш единственный решение заключается в использовании виртуальной машины с другим гипервизором, например KVM / XEN, которые популярны в индустрии веб-хостинга. Они используют полную виртуализацию оборудования и не ограничены, как виртуализация на основе контейнеров.
Вы должны знать, что SELINUX можно настроить на принудительное или отключение во время выполнения иначе, чем для загрузки.
Из документация на сайте CentOS:
Команда sestatus отображает текущий режим и режим из файла конфигурации, на который ссылаются во время загрузки:
sestatus | grep -i mode
Current mode: permissive
Mode from config file: permissiveОбратите внимание, что изменение принудительного исполнения не влияет на конфигурацию времени загрузки:
setenforce 1 sestatus | grep -i mode
Current mode: enforcing
Mode from config file: permissive
Я предлагаю сразу же переключить его в разрешающий режим, пока вы не сможете внести изменения, которые, как вы знаете, будут безопасными, чтобы избежать блокировки. Затем вы можете создать свои политики, проверить журналы, чтобы увидеть, где могут быть отказы, и, наконец, включить строгое соблюдение, когда вы знаете, что происходит.
Вы можете отключить его в /etc/grub.conf или / etc / selinux / config, в зависимости от вашей конфигурации. Вы также можете использовать setenforce 0 -p чтобы навсегда сохранить изменение.