我有一台安装了 SELinux 的 AlmaLinux 9 服务器,但目前已禁用,因为该服务器尚未投入生产使用。
我已准备好开始安装其他应用程序(例如 Apache、PHP、Postfix、Logwatch、Fail2ban 等),但我想知道是否应该在安装这些应用程序之前将 SELinux 设置为强制执行并重新标记文件系统,或者等待直到我安装完我需要的所有软件然后再做?有什么区别吗?
预先感谢您的任何建议/意见。
AskOverflow.Dev
我有一台安装了 SELinux 的 AlmaLinux 9 服务器,但目前已禁用,因为该服务器尚未投入生产使用。
我已准备好开始安装其他应用程序(例如 Apache、PHP、Postfix、Logwatch、Fail2ban 等),但我想知道是否应该在安装这些应用程序之前将 SELinux 设置为强制执行并重新标记文件系统,或者等待直到我安装完我需要的所有软件然后再做?有什么区别吗?
预先感谢您的任何建议/意见。
如果您完全禁用 selinux,则在重新启用文件系统时必须重新标记文件系统,因为任何新内容都不会具有 selinux 上下文(即:您可以通过 看到的内容
ls -Z)。但禁用 selinux 几乎从来都不是正确的方法。如果出现问题和/或出于调试目的,您应该将其置于
permissive模式下。在这种模式下,selinux 基本上允许任何操作,但会记录违反策略的情况。您可以检查日志文件并查看 selinux 是否存在任何问题。当你有足够的信心时,你可以将selinux置于enforcing模式下。但是,我通常仅限于调试会话 - 我更喜欢尽快
permissive让系统进入模式(即:在安装时)并逐步处理最终的后果,而不是稍后同时调试多个阻塞问题(enforcing当从 切换permissive到时enforcing)。