यदि हम सेलिनक्स को निष्क्रिय कर देते हैं तो क्या गलत हो सकता है [बंद]

हमें दूसरी टीम के उपयोग किए गए सर्वरों का एक समूह विरासत में मिला है। उनमें से कुछ पर SELinux सक्षम है, कुछ नहीं। SELinux के कारण, हमें पासवर्ड रहित ssh, हमारे वेबसर्वर आदि को सेट करने में समस्या हो रही है, हमने इस स्टैकएक्सचेंज साइट पर एक काम ढूँढा , जिसे चलाना है:

restorecon -R -v ~/.ssh

हालाँकि, जब से हम क्या करते हैं, इसके लिए हमें SELinux को चलाने की आवश्यकता नहीं है, तो यह याद रखना आसान हो सकता है कि हमारे लिए यह याद रखना कि सभी को उपरोक्त cmd को चलाने के लिए जो dir की अनुमति की आवश्यकता है।

क्या हम SELinux को w / o से मोड़कर सड़क के किसी भी मोड़ को बंद कर सकते हैं या क्या सर्वर को री-इमेज करना बेहतर है? एक बात ध्यान दें; हमारा आईटी समूह वास्तव में व्यस्त है इसलिए एक सर्वर को उनकी सूची में फिर से इमेजिंग करने के लिए उच्च नहीं है जब तक कि यह बिल्कुल आवश्यक न हो (एक बहुत अच्छा व्यापार मामला है) ... या कोई व्यक्ति स्कॉच या व्हिस्की की बोतल के साथ अपने मालिक को रिश्वत देता है।

अद्यतन: सभी के सुझाव और सलाह के लिए धन्यवाद। ये सर्वर सभी आंतरिक देव सर्वर के रूप में उपयोग किए जा रहे हैं। इन मशीनों तक कोई बाहरी पहुँच नहीं है, इसलिए सुरक्षा हमारे लिए उच्च चिंता का विषय नहीं है। हमारे वर्तमान सर्वर जिनका हम उपयोग कर रहे हैं (मेरे सर्वोत्तम ज्ञान के लिए) SELinux सक्षम नहीं है। उनमें से कुछ जो मेरे प्रबंधक ने अभी हासिल किए हैं और वे हैं जिन्हें हम अपने क्लस्टर में सब कुछ अक्षम करने के लिए देख रहे हैं।

SELinux ऑपरेटिंग सिस्टम की एक सुरक्षा विशेषता है। यह सर्वर के कुछ हिस्सों को दूसरे हिस्सों से बचाने में मदद करने के लिए बनाया गया है।

उदाहरण के लिए, यदि आप एक वेब सर्वर चलाते हैं और कुछ "असुरक्षित" कोड हैं, जो एक हमलावर को मनमाना आदेशों को चलाने की अनुमति देता है, तो SELinux इसे कम करने में मदद कर सकता है, आपके वेब सर्वर को फाइलों तक पहुंचने से रोकने के लिए इसे देखने की अनुमति नहीं है।

अब आप SELinux को निष्क्रिय कर सकते हैं और इसे कुछ भी नहीं तोड़ना चाहिए। सर्वर सामान्य की तरह काम करता रहेगा।

लेकिन आपने सुरक्षा सुविधाओं में से एक को अक्षम कर दिया होगा।

SELinux के अलग-अलग विचार हैं। कई मामलों में, कुछ एप्लिकेशन SELinux के साथ अच्छा नहीं खेलते हैं, ताकि यह निर्णय मूट (Oracle एक उदाहरण है)।
आमतौर पर, SELinux आपके सिस्टम को खराब करने के इच्छुक एक बुरे आदमी के रास्ते में एक और बाधा डालने के लिए एक सुरक्षा तंत्र है।

बड़ी कंपनियों में सिस्टम एडमिनिस्ट्रेटर के रूप में मेरी पिछली भूमिकाओं में ... मैंने आमतौर पर SELinux को निष्क्रिय कर दिया है। मेरे पास उपयोगकर्ताओं, डेवलपर्स और प्रबंधकों द्वारा उपयोग की जा रही सभी प्रणालियों पर सभी SELinux त्रुटियों को ट्रैक करने का समय नहीं था।

चीजों को अक्षम करने से पहले, आप सिस्टम पर मौजूद फाइलों को वापस लाकर शुरू करना चाह सकते हैं जो उन्हें होना चाहिए। सबसे आसान तरीका जो मुझे मिला है वह है कमांड दर्ज करना:

 # /sbin/fixfiles onboot

या

 # touch /.autorelabel

फिर, सिस्टम में गलत SELinux लेबल को सत्यापित करने और रीसेट करने में सिस्टम के लिए लगभग उतनी ही समय लगेगा, रिबूट करें और प्रतीक्षा करें। उसके बाद आप ठीक हो सकते हैं क्योंकि यह गैर-अनुरूपता वाले SELinux लेबल को ठीक करता है और ठीक करता है जो आपके सर्वर के प्रयास प्रशासन से पहले संशोधित किया गया हो सकता है।

हालाँकि, यदि ऐसा नहीं होता है, तो सिस्टम को सेल्फिंग मोड में सेलेक्स न होने से सिस्टम को कोई नुकसान नहीं होगा। यह सुरक्षा की एक अतिरिक्त परत है।

सीधे शब्दों में कहें तो SELinux जैसे अनिवार्य एक्सेस कंट्रोल (MAC) मैकेनिज्म को डिसेबल करना एक अच्छा आइडिया नहीं है और अगर आप एक बुरा आदमी सफलतापूर्वक नाम-आधारित एक्सेस कंट्रोल को दरकिनार कर देते हैं, तो यह विवेकाधीन एक्सेस कंट्रोल (DAC) द्वारा लागू किया जा सकता है।

मेरे थे, मैं कुछ ऐसा करूंगा

semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy

अतिरिक्त लेबल से पुनरावर्ती रूप से सौंपे जाने के बारे में सुनिश्चित होना~/.ssh

आम तौर पर बोलते हुए आपको SELinux को अक्षम नहीं करना चाहिए। ऐसे उपकरण हैं जो आपको यह समझने में मदद कर सकते हैं कि क्या गलत हुआ। मेरा पसंदीदा सीलर्ट उदाहरण उपयोग है:

sealert -a /var/log/audit/audit.log

ओएफसी आप डिबग के लिए हमेशा SELinux को परमिशन मोड में सेट कर सकते हैं, लेकिन SELinux को डिसेबल या परमिशन पर रखना Red Red द्वारा गंभीर सुरक्षा दोष के रूप में सिखाया जाता है।