O que pode dar errado se desativarmos o selinux [closed]

Question

O que pode dar errado se desativarmos o selinux [closed]

#1 resposta do (12 votos)
#2 resposta do (7 votos)
#3 resposta do (4 votos)
#4 resposta do (1 votos)

8

Esta pode ser uma pergunta idiota, mas, por favor, humorize-me, pois não sei nada sobre o SELinux além do que está no site da wikipedia .

Herdamos vários servidores usados de outra equipe. Alguns deles possuem o SELinux ativado, outros não. Devido ao SELinux, estamos tendo problemas para configurar o ssh sem senha, nosso servidor da web, etc. Encontramos uma solução em este site stackexchange , que deve ser executado:

restorecon -R -v ~/.ssh

No entanto, como não precisamos executar o SELinux para o que fazemos, pode ser mais fácil desativá-lo do que lembrarmos que todos executam o cmd acima em qualquer pasta que precise de permissões.

Podemos desativar o SELinux sem qualquer repercussão no futuro ou é melhor apenas recriar a imagem do servidor? Uma coisa a notar; nosso grupo de TI está realmente ocupado, então re-imaging um servidor não está no topo da lista, a menos que seja absolutamente necessário (precisa de um bom business case) ... ou alguém suborna seu chefe com uma garrafa de whisky ou uísque.

ATUALIZAÇÃO: Obrigado pela sugestão e conselhos de todos. Esses servidores serão todos usados como servidores internos de desenvolvimento. Não haverá acesso externo a essas máquinas, portanto, a segurança não é uma grande preocupação para nós. Nossos servidores atuais que estamos usando todos (pelo que eu sei) não possuem o SELinux habilitado. Alguns dos que meu gerente acaba de adquirir fazem e são aqueles que estamos procurando desabilitar, então tudo em nosso cluster é uniforme.

ssh selinux linux

por Classified 03.08.2016 / 23:24

4 respostas

Tags ssh selinux linux

Qual é a diferença entre o arquivo binário e o arquivo .exe? [fechadas] Adição de números extremamente grandes no shell script

score 12 · Answer 1

O SELinux é um recurso de segurança do sistema operacional. Ele é projetado para ajudar a proteger algumas partes do servidor de outras partes.

Por exemplo, se você executar um servidor da Web e tiver algum código "vulnerável" que permita que um invasor execute comandos arbitrários, o SELinux poderá ajudar a atenuar isso, impedindo que seu servidor da Web acesse arquivos que ele não pode ver. / p>

Agora você pode desativar o SELinux e não deve quebrar nada. O servidor continuará funcionando normalmente.

Mas você terá desativado um dos recursos de segurança.

score 7 · Answer 2

Existem diferentes visualizações do SELinux. Em muitos casos, alguns aplicativos não funcionam bem com o SELinux, de modo que essa decisão é discutível (a Oracle é um exemplo). Geralmente, o SELinux é um mecanismo de proteção para colocar mais um obstáculo no caminho de um cara mau que quer subverter seu sistema.

Em minhas funções anteriores como Administrador de Sistemas em grandes empresas ... eu geralmente desativei o SELinux. Eu não tive tempo para rastrear todos os erros do SELinux em todos os sistemas que estão sendo usados por usuários, desenvolvedores e gerentes.

Antes de desabilitar as coisas, você pode começar por reclassificar os arquivos no sistema de volta para o que eles deveriam ser. O método mais fácil que encontrei é digitar o comando:

 # /sbin/fixfiles onboot

OR

 # touch /.autorelabel

Em seguida, reinicialize e espere, pois o sistema demorará aproximadamente o mesmo tempo para verificar e redefinir os rótulos SELinux errantes no sistema. Depois disso, você pode estar certo, pois corrige e corrige etiquetas SELinux não-conformes que podem ter sido modificadas antes da tentativa de administração do servidor.

No entanto, se isso não acontecer, o sistema não será prejudicado por NÃO ter o SELinux no modo de execução. É apenas uma camada extra de proteção.

score 4 · Answer 3

Simplificando, desabilitar os mecanismos de controle de acesso obrigatório (MAC) como SELinux não é uma boa ideia e pode colocá-lo em desvantagem de segurança se um vilão contornar com sucesso os controles de acesso baseados em nome pelo Discretionary Access Control (DAC).

Se fosse eu, faria algo como

semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy

para ter mais certeza sobre o rótulo de tipo atribuído recursivamente a partir de ~/.ssh

score 1 · Answer 4

Em geral, você não deve desabilitar o SELinux. Existem ferramentas que podem ajudá-lo a entender o que deu errado. Meu favorito é sealert exemplo de uso:

sealert -a /var/log/audit/audit.log

OFC você sempre pode configurar o SELinux no modo permissivo para depuração, mas manter o SELinux desativado ou permissivo é ensinado como uma séria falha de segurança pela Red Hat.