CentOS Selinux config reforçando mas incapaz de iniciar

3

Eu descobri recentemente que o selinux é disabled , mas o arquivo de configuração dizendo "selinux enforcing mode setted". Eu li sobre as possibilidades de por que o selinux está desativado. Eu estou suspeitando do kernel. Mas não consigo encontrar o que devo fazer para resolver este problema. Tenho medo de tocar em nada porque o sistema está sendo executado remotamente. Minha conexão entre o sistema e eu é apenas um shell seguro. Existem alguns continentes entre o servidor e eu. Então, eu preciso resolver esse problema sem tornar o servidor inacessível :) Que passos devo seguir?

Informações sobre o servidor:

Centos 6.5
Linux 2.6.32-042stab068.8 #1 SMP Fri Dec 7 17:06:14 MSK 2012 i686 i686 i386 GNU/Linux

O servidor está sendo executado no VPS e tão estranhamente configurado. Eu nem mesmo detecto qual carregador de boot está instalado para verificar a configuração do selinux no gerenciador de inicialização.

Partições (de acordo com o mtab):

/dev/simfs / simfs rw,relatime 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
none /dev devtmpfs rw,relatime,mode=755 0 0
none /dev/pts devpts rw,relatime,gid=5,mode=620,ptmxmode=000 0 0
none /dev/shm tmpfs rw,relatime 0 0
none /proc/sys/fs/binfmt_misc binfmt_misc rw,relatime 0 0

EDIT: Infelizmente, eu aprendi que o kernel no servidor não suporta o Selinux. Por causa disso é especializado em OpenVZ .

    
por Sencer H. 24.06.2014 / 11:29

2 respostas

3

Você disse que a VM é baseada no OpenVZ. O OpenVZ não suporta o SELinux devido ao funcionamento dos contêineres. Não está no kernel, e é por isso que ele não será realmente aplicado. Gostaria de definir a configuração para desativado, conforme recomendado na documentação. Sua única solução é usar uma VM com um hypervisor diferente, como o KVM / XEN, que é popular na indústria de hospedagem na web. Eles usam virtualização completa de hardware e não são limitados como a virtualização baseada em contêiner é.

    
por 26.06.2014 / 17:09
0

Você deve saber que o SELINUX pode ser configurado para impor ou não em tempo de execução de maneira diferente da inicialização.

Na documentação no site do CentOS :

The sestatus command displays the current mode and the mode from the configuration file referenced during boot:

sestatus | grep -i mode

Current mode: permissive

Mode from config file: permissive

Note that changing the runtime enforcement does not affect the boot time configuration:

setenforce 1 sestatus | grep -i mode

Current mode: enforcing

Mode from config file: permissive

Sugiro alterá-lo para o modo permissivo imediatamente, até que você possa fazer as alterações que você sabe que serão seguras para evitar serem bloqueadas. Em seguida, você pode criar suas políticas, verificar os registros para ver onde haveria negações e, finalmente, habilitar a aplicação estrita quando souber o que está acontecendo.

Você pode desativar em /etc/grub.conf ou / etc / selinux / config, dependendo da sua configuração. Você também pode usar setenforce 0 -p para salvar permanentemente a alteração.

    
por 25.06.2014 / 01:22