Em sistemas em execução com o SELinux ativado, novos arquivos e diretórios herdam o contexto do diretório pai ou aplicam um contexto por regras de política. O exemplo mostra que nenhum contexto do SELinux é aplicado quando o diretório é criado, visível de ls -Z
output como ?
na coluna de contexto de segurança.
Isso sugere que o SELinux não está habilitado em seu sistema. Quando o SELinux está habilitado, os contextos dos arquivos são aplicados automaticamente pelo sistema.
Você pode verificar o status do SELinux com o comando sestatus
.
Se você deseja reativar o SELinux, você deve verificar o documentação antecipadamente. O sistema deve ser inicializado no modo permissivo primeiro para ser renomeado (rótulos ausentes a serem aplicados) e quaisquer problemas aparentes devem ser corrigidos antes de mudar para o modo de execução.
O SELinux requer frequentemente alguma configuração: você pode ter arquivos em locais não incluídos na política padrão ou seu aplicativo pode exigir mais permissões do que a política padrão permite. audit2allow
e audit2why
são ferramentas úteis ao investigar logs do SELinux e geralmente revelam rótulos de arquivos incorretos ou sugerem booleanos que podem resolver problemas.
O SELinux também possui domínios permissivos que pode ser usado para desabilitar o SELinux para determinados domínios (processos) enquanto deixa o resto da política em modo de imposição. No modo permissivo, os logs são gerados da mesma forma que no modo de imposição para acesso que, de outra forma, seria negado. Obviamente, a execução de um aplicativo no domínio permissivo é praticamente o mesmo que executar o aplicativo SELinux desativado.