Trong hướng dẫn này, bạn tìm hiểu nó là gì SELinux và cách khắc phục lỗi "Không tải được SELinux Policy" xuất hiện trên hệ điều hành CentOS.
Đầu tiên, hãy mô tả ngắn gọn về chế độ bảo mật SELinux. Nó là gì SELinux và nó đóng vai trò gì trong hệ điều hành Linux?
SELinux là mô-đun bảo mật kernel, có vai trò kiểm soát quyền truy cập của các ứng dụng phần mềm và người dùng vào hệ điều hành. Được phát hành vào khoảng giữa năm 2000, SELinux qua nhiều năm đã hiện diện trên ngày càng nhiều bản phân phối của Linux.
Hoạt động của mô-đun này bao gồm việc phân phối và kiểm soát các chính sách bảo mật trong hệ thống, hạn chế quyền truy cập của các ứng dụng ở cấp độ hệ thống con chính của hạt nhân.
Cơ chế bảo mật này hoạt động độc lập với các hệ thống kiểm soát và ngăn chặn truyền thống các hoạt động đáng ngờ hiện có trên Linux. Không thể được chủ động kiểm soát bởi siêu người dùng"root” và không có sự tương tác với các ứng dụng hoặc tập lệnh của bên thứ ba, SELinux cung cấp sự ổn định cốt lõi.
Bảo mật của một hệ thống Linux không có mô-đun này SELinux nó sẽ tự động phụ thuộc vào tính chính xác của cấu hình kernel, các ứng dụng có đặc quyền chạy và cấu hình của chúng. Một lỗi đơn giản ở một trong những yếu tố được đề cập trước đó có thể ảnh hưởng đến hoạt động bình thường của toàn bộ hệ thống.
Tóm lại là, SELinux có thể được gọi là người bảo vệ thực sự của hệ điều hành Linux, đảm bảo tính toàn vẹn, an ninh và ổn định. Đừng nhầm lẫn mô-đun này với phần mềm chống vi-rút hoặc tường lửa. Nó hoàn toàn khác.
Người dùng sử dụng Linux đối với máy chủ web và đám mây, tôi biết rõ rằng SELinux có thể gây ra sự cố khi chạy các ứng dụng phần mềm có đặc quyền cấp độ kiểm soát và truy cập hệ thống.
SELinux có thể kiểm soát các hoạt động của hệ điều hành đối với từng người dùng, ứng dụng và daemon một phần và có thể áp dụng các chính sách và hạn chế bảo mật chính xác. Điều này thường có thể là một vấn đề đối với các máy chủ web, nơi hầu hết các quy trình phần mềm cụ thể đều có đặc quyền và tương tác với nhân hệ điều hành.
Những người quyết định vô hiệu hóa mô-đun hạt nhân này thường mắc lỗi khi sửa đổi các lệnh, dẫn đến không thể tải SELinux khi khởi động lại hệ điều hành. “Failed to load SELinux policy".
Tôi đã thể hiện trong một bài viết làm thế nào nó có thể bị vô hiệu hóa SELinux, để tránh làm gián đoạn quá trình do dịch vụ NGINX đưa vào máy chủ web.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=disabled (WRONG)Một lỗi mà chúng tôi vô tình mắc phải và vì đó là máy chủ từ xa nên giải pháp là cài đặt lại hoàn toàn hệ điều hành.
Nếu bạn may mắn hơn một chút, bạn có thể sửa SELinux chỉ khi bạn có sẵn DVD hoặc khả năng tải ảnh ISO của hệ điều hành vào "rescue".
Failed to load SELinux Policy nó được tìm thấy đặc biệt trên các phiên bản CentOS 6, CentOS 7, RHEL 7.x.
Cảm ơn vì bài viết, bạn đã tìm ra nguyên nhân gốc rễ nhưng lại bỏ lỡ một giải pháp: thực ra add selinux=0 trong mục hệ điều hành do grub đề xuất là đủ để vô hiệu hóa selinux và làm cho hệ điều hành có thể khởi động lại.
Cảm ơn vì giải pháp này!
selinux=0Tôi nghĩ rằng tại thời điểm tôi viết bài báo, tùy chọn này không khả dụng. Tôi có thể nhầm lẫn. Cảm ơn vì giải pháp!