我有一台安装了 SELinux 的 AlmaLinux 9 服务器,但目前已被禁用,因为该服务器尚未投入生产使用。
我已准备好开始安装其他应用程序(例如 Apache、PHP、Postfix、Logwatch、Fail2ban 等),但我想知道是否应该将 SELinux 设置为强制执行并重新标记文件系统前我应该安装这些应用程序还是等到安装了所有需要的软件后再安装?这有什么区别吗?
提前感谢您的任何建议/意见。
答案1
如果您完全禁用 selinux,那么您必须在重新启用它时重新标记文件系统,因为任何新内容都不会具有 selinux 上下文(即您可以通过 看到的内容ls -Z)。
但禁用 selinux 几乎从来都不是正确的方法。如果出现问题和/或出于调试目的,您应该将其置于permissive模式。在此模式下,selinux 基本上将允许任何操作,但会记录策略违规。您可以检查日志文件并查看 selinux 是否存在任何问题。当您足够自信时,您可以将 selinux 置于enforcing模式。
不过,我通常限制仅使用调试会话 - 我希望尽快permissive让系统进入模式(即:在安装时)并逐步处理最终的后果,而不是稍后同时调试多个阻塞问题(从 切换到 时)。enforcingpermissiveenforcing