Включение или отключение SELinux: различия между версиями

Установка и настройка / Основные элементы Ключ-Астром / Ключ-АСТРОМ Managed / Установка / Включение или отключение SELinux

Ключ-АСТРОМ Managed версии 1.222+

SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором.

SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux.

Управляемая установка Ключ-АСТРОМ автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы службы Ключ-АСТРОМ Managed могли успешно работать в permissive режиме. Для установки Ключ-АСТРОМ Managed в системе SELinux в permissive режиме требуется, чтобы в вашей системе была доступна утилита semanage. Установка не удастся, если необходимый пакет отсутствует.

• Для новых установок от вас не требуется выполнять никаких дополнительных действий.
• Для существующих установок после включения SELinux вам необходимо запустить сценарий reconfigure.sh:
  • <PRODUCT_PATH>/installer/reconfigure.sh
• Для более старых версий вам необходимо изменить режим SELinux на permissive.

Чтобы включить или отключить SELinux в вашей системе, убедитесь, что у вас установлена утилита semanage и другие необходимые пакеты.

Включить SELinux

Чтобы включить SELinux в вашей системе, убедитесь, что у вас установлены необходимые пакеты:

• policycoreutils
• selinux-utils
• selinux-basics

Также убедитесь, что вы активировали SELinux в своей системе.

Чтобы настроить SELinux в Ubuntu

1. Используйте команду apt для установки следующих пакетов:
   • # sudo apt install policycoreutils selinux-utils selinux-basics
2. Активируйте SELinux:
   • # sudo selinux-activate
   • Вы должны увидеть:
   • SE Linux is activated. You may need to reboot now.
3. Установите SELinux в принудительный режим:
   • # sudo selinux-config-enforcing
4. Остановите управляемые службы Ключ-АСТРОМ:
   • Подробнее см. Запуск/остановка/перезапуск кластера.
5. Перезагрузите вашу систему.
   • Перемаркировка SELinux будет запущена после перезагрузки системы. По завершении система автоматически перезагрузится ещё раз.
6. Проверьте статус SELinux:
   • # sestatus
   • SELinux status: enabled
   • SELinuxfs mount: /sys/fs/selinux
   • SELinux root directory: /etc/selinux
   • Loaded policy name: default
   • Current mode: enforcing
   • Mode from config file: error (Success)
   • Policy MLS status: enabled
   • Policy deny_unknown status: allowed
   • Memory protection checking: requested (insecure)
   • Max kernel policy version: 31
7. Настройте Ключ-АСТРОМ Managed с включенным SELinux:
   • <PRODUCT_PATH>/installer/reconfigure.sh

Отключить SELinux

Чтобы отключить SELinux

1. Откройте файл конфигурации /etc/selinux/config и измените значение параметра SELINUX на disabled:
   • SELINUX=disabled
2. Остановите службы Ключ-АСТРОМ Managed:
   • Подробнее см. Запуск/остановка/перезапуск кластера.
3. Перезагрузите вашу систему.
4. Настройте Ключ-АСТРОМ Managed с отключенным SELinux:
   • <PRODUCT_PATH>/installer/reconfigure.sh

Изменения операционной системы

Установщик Ключ-АСТРОМ Managed выполняет следующие изменения в вашей системе, если режим SELinux принудительный, и для установки или хранения используются пользовательские пути:

Контекст файла обновляется до usr_t для всех каталогов Ключ-АСТРОМ Managed (двоичные файлы и хранилище), путем выполнения следующих команд, где /custom-dir/ - это пользовательский путь для установки или хранилища Ключ-АСТРОМ Managed:

# semanage fcontext -a -t usr_t "/custom-dir/"

# semanage fcontext -a -t usr_t "/custom-dir/.*"

# restorecon -R /custom-dir/