Открыть меню
Открыть персональное меню
Вы не представились системе
Your IP address will be publicly visible if you make any edits.

Включение или отключение SELinux: различия между версиями

Материал из Документация АппОптима
Нет описания правки
Нет описания правки
 
(не показаны 3 промежуточные версии 2 участников)
Строка 1: Строка 1:
'''''[[Установка и настройка]] / [https://doc.ruscomtech.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0#.D0.9E.D1.81.D0.BD.D0.BE.D0.B2.D0.BD.D1.8B.D0.B5_.D1.8D.D0.BB.D0.B5.D0.BC.D0.B5.D0.BD.D1.82.D1.8B_.D0.9A.D0.BB.D1.8E.D1.87-.D0.90.D1.81.D1.82.D1.80.D0.BE.D0.BC Основные элементы Ключ-Астром] / [[Ключ-АСТРОМ Managed]] / [https://doc.ruscomtech.ru/index.php/%D0%9A%D0%BB%D1%8E%D1%87-%D0%90%D0%A1%D0%A2%D0%A0%D0%9E%D0%9C_Managed#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0 Установка] / Включение или отключение SELinux'''''
'''''[[Установка и настройка]] / Основные элементы АппОптима / АппОптима / Установка / Включение или отключение SELinux'''''


''<u>Ключ-АСТРОМ Managed версии 1.222+</u>''
''<u>АппОптима версии 1.222+</u>''


SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором.
SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором.
Строка 7: Строка 7:
SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux.
SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux.


Управляемая установка Ключ-АСТРОМ автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы службы Ключ-АСТРОМ Managed могли успешно работать в <code>принудительном</code> режиме. Для установки Ключ-АСТРОМ Managed в системе SELinux в <code>принудительном</code> режиме требуется, чтобы в вашей системе была доступна утилита <code>semanage</code>. Установка не удастся, если необходимый пакет отсутствует.
Управляемая установка АппОптима автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы службы АппОптима могли успешно работать в <code>принудительном</code> режиме. Для установки АппОптима в системе SELinux в <code>принудительном</code> режиме требуется, чтобы в вашей системе была доступна утилита <code>semanage</code>. Установка не удастся, если необходимый пакет отсутствует.


* Для новых установок от вас не требуется выполнять никаких дополнительных действий.
* Для новых установок от вас не требуется выполнять никаких дополнительных действий.
* Для существующих установок после включения SELinux вам необходимо запустить сценарий <code>reconfigure.sh</code>:
* Для существующих установок после включения SELinux вам необходимо запустить сценарий <code>reconfigure.sh</code>:
** <code><PRODUCT_PATH>/installer/reconfigure.sh</code>
** <code><PRODUCT_PATH>/installer/reconfigure.sh</code>
* Для более старых версий вам необходимо изменить режим SELinux на <code>разрешающий</code>.
* Для более старых версий вам необходимо изменить режим SELinux на <code>permissive</code>.


Чтобы включить или отключить SELinux в вашей системе, убедитесь, что у вас установлена утилита <code>semanage</code> и другие необходимые пакеты.
Чтобы включить или отключить SELinux в вашей системе, убедитесь, что у вас установлена утилита <code>semanage</code> и другие необходимые пакеты.
Строка 35: Строка 35:
# Установите SELinux в принудительный режим:
# Установите SELinux в принудительный режим:
#* <code># sudo selinux-config-enforcing</code>
#* <code># sudo selinux-config-enforcing</code>
# Остановите управляемые службы Ключ-АСТРОМ:
# Остановите управляемые службы АппОптима:
#* Подробнее см. [[Запуск/остановка/перезапуск кластера]].
#* Подробнее см. [[Запуск/остановка/перезапуск кластера]].
# Перезагрузите вашу систему.
# Перезагрузите вашу систему.
Строка 51: Строка 51:
#* <code>Memory protection checking:    requested (insecure)</code>
#* <code>Memory protection checking:    requested (insecure)</code>
#* <code>Max kernel policy version:      31</code>
#* <code>Max kernel policy version:      31</code>
# Настройте Ключ-АСТРОМ Managed с включенным SELinux:
# Настройте АппОптима с включенным SELinux:
#* <code><PRODUCT_PATH>/installer/reconfigure.sh</code>
#* <code><PRODUCT_PATH>/installer/reconfigure.sh</code>


Строка 59: Строка 59:
# Откройте файл конфигурации <code>/etc/selinux/config</code> и измените значение параметра <code>SELINUX</code> на <code>disabled</code>:
# Откройте файл конфигурации <code>/etc/selinux/config</code> и измените значение параметра <code>SELINUX</code> на <code>disabled</code>:
#* <code>SELINUX=disabled</code>
#* <code>SELINUX=disabled</code>
# Остановите службы Ключ-АСТРОМ Managed:
# Остановите службы АппОптима:
#* Подробнее см. [[Запуск/остановка/перезапуск кластера]].
#* Подробнее см. [[Запуск/остановка/перезапуск кластера]].
# Перезагрузите вашу систему.
# Перезагрузите вашу систему.
# Настройте Ключ-АСТРОМ Managed с отключенным SELinux:
# Настройте АппОптима с отключенным SELinux:
#* <code><PRODUCT_PATH>/installer/reconfigure.sh</code>
#* <code><PRODUCT_PATH>/installer/reconfigure.sh</code>


== Изменения операционной системы ==
== Изменения операционной системы ==
Установщик Ключ-АСТРОМ Managed выполняет следующие изменения в вашей системе, если режим SELinux принудительный, и для установки или хранения используются пользовательские пути:
Установщик АппОптима выполняет следующие изменения в вашей системе, если режим SELinux принудительный, и для установки или хранения используются пользовательские пути:


Контекст файла обновляется до <code>usr_t</code> для всех каталогов Ключ-АСТРОМ Managed (двоичные файлы и хранилище), путем выполнения следующих команд, где <code>/custom-dir/</code> - это пользовательский путь для установки или хранилища Ключ-АСТРОМ Managed:
Контекст файла обновляется до <code>usr_t</code> для всех каталогов АппОптима (двоичные файлы и хранилище), путем выполнения следующих команд, где <code>/custom-dir/</code> - это пользовательский путь для установки или хранилища АппОптима:


<code># semanage fcontext -a -t usr_t "/custom-dir/"</code>
<code># semanage fcontext -a -t usr_t "/custom-dir/"</code>

Текущая версия от 21:03, 25 декабря 2024

Установка и настройка / Основные элементы АппОптима / АппОптима / Установка / Включение или отключение SELinux

АппОптима версии 1.222+

SELinux (Linux с повышенной безопасностью) - это ядро безопасности Linux, которое действует как защитный агент на серверах. Он полагается на обязательный контроль доступа (MAC), чтобы ограничить пользователей политиками, определенными системным администратором.

SELinux доступен для большинства дистрибутивов Linux и устанавливается по умолчанию в новых дистрибутивах Red Hat Enterprise Linux.

Управляемая установка АппОптима автоматически определяет состояние режима SELinux в вашей системе и изменяет контекст SELinux файлов, чтобы службы АппОптима могли успешно работать в принудительном режиме. Для установки АппОптима в системе SELinux в принудительном режиме требуется, чтобы в вашей системе была доступна утилита semanage. Установка не удастся, если необходимый пакет отсутствует.

  • Для новых установок от вас не требуется выполнять никаких дополнительных действий.
  • Для существующих установок после включения SELinux вам необходимо запустить сценарий reconfigure.sh:
    • <PRODUCT_PATH>/installer/reconfigure.sh
  • Для более старых версий вам необходимо изменить режим SELinux на permissive.

Чтобы включить или отключить SELinux в вашей системе, убедитесь, что у вас установлена утилита semanage и другие необходимые пакеты.

Включить SELinux

Чтобы включить SELinux в вашей системе, убедитесь, что у вас установлены необходимые пакеты:

  • policycoreutils
  • selinux-utils
  • selinux-basics

Также убедитесь, что вы активировали SELinux в своей системе.

Чтобы настроить SELinux в Ubuntu

  1. Используйте команду apt для установки следующих пакетов:
    • # sudo apt install policycoreutils selinux-utils selinux-basics
  2. Активируйте SELinux:
    • # sudo selinux-activate
    • Вы должны увидеть:
    • SE Linux is activated. You may need to reboot now.
  3. Установите SELinux в принудительный режим:
    • # sudo selinux-config-enforcing
  4. Остановите управляемые службы АппОптима:
  5. Перезагрузите вашу систему.
    • Перемаркировка SELinux будет запущена после перезагрузки системы. По завершении система автоматически перезагрузится ещё раз.
  6. Проверьте статус SELinux:
    • # sestatus
    • SELinux status: enabled
    • SELinuxfs mount: /sys/fs/selinux
    • SELinux root directory: /etc/selinux
    • Loaded policy name: default
    • Current mode: enforcing
    • Mode from config file: error (Success)
    • Policy MLS status: enabled
    • Policy deny_unknown status: allowed
    • Memory protection checking: requested (insecure)
    • Max kernel policy version: 31
  7. Настройте АппОптима с включенным SELinux:
    • <PRODUCT_PATH>/installer/reconfigure.sh

Отключить SELinux

Чтобы отключить SELinux

  1. Откройте файл конфигурации /etc/selinux/config и измените значение параметра SELINUX на disabled:
    • SELINUX=disabled
  2. Остановите службы АппОптима:
  3. Перезагрузите вашу систему.
  4. Настройте АппОптима с отключенным SELinux:
    • <PRODUCT_PATH>/installer/reconfigure.sh

Изменения операционной системы

Установщик АппОптима выполняет следующие изменения в вашей системе, если режим SELinux принудительный, и для установки или хранения используются пользовательские пути:

Контекст файла обновляется до usr_t для всех каталогов АппОптима (двоичные файлы и хранилище), путем выполнения следующих команд, где /custom-dir/ - это пользовательский путь для установки или хранилища АппОптима:

# semanage fcontext -a -t usr_t "/custom-dir/"

# semanage fcontext -a -t usr_t "/custom-dir/.*"

# restorecon -R /custom-dir/