SELinux 难以管理;如果它妨碍你,就把它关掉



泡芙
2025-02-03 01:16:42 (10天前)
https://hack.ernews.info/

安全增强型 Linux (SELinux) 是 Linux 内核中的一种强制访问控制 ( MAC )。它可以防止软件在您的 Linux 系统上执行意外的操作,例如滥用或恶意操作。但是,……这也是一个无法管理的混乱,我对人们为什么建议人们禁用它有了更深入的理解。

SELinux 是众多安全层之一,可帮助保护您的 Linux 服务器(和桌面)免受狮子、老虎和熊的侵害——哦,天哪!SELinux 策略指定允许哪些程序、套接字和文件相互交互。它要求系统上的所有内容都使用安全上下文正确标记,该安全上下文通过映射允许交互的标签的策略来强制执行。

这可能听起来像gobbledygook。好的,这是一个具体的例子:Lighttpd 网络服务器可执行文件存储在/usr/sbin/lighttpd并带有标签httpd_exec_t。它读取/var/www/标记为 的文件httpd_sys_content_t。每次 Lighttpd 想要读取文件时,内核都会检查当前策略集并验证httpd_exec_t是否允许读取标记为 的文件httpd_sys_content_t。如果不是,则内核拒绝读取并记录策略拒绝。

问题的核心在于 SELinux 策略本身有点神奇。这些策略可能是由您的 Linux 发行版(例如 Fedora Linux)的维护者提供的。系统上没有任何地方可以查看策略并查找某些可能或可能不起作用的原因。这些政策也会随着时间而改变,没有任何警告。

不管是什么原因,您可能会遇到一些软件在系统更新或更改其配置后停止工作。该更改导致 SELinux 强制操作导致系统上拒绝某些操作,例如文件读取操作。
唯一可靠的选择是放弃 Linux 发行版提供的所有内容,并从头开始。即使是基本的网络服务器,这也将花费你数周的时间来设置。唯一合理的选择是让它保持打开状态,但如果它妨碍你,就把它关掉。

1 条回复
  1. 动动手指,沙发就是你的了!
登录 后才能参与评论