Doporučuje se zajistit, aby byl Security-Enhanced Linux (SELinux) spuštěn v režimu vynucování režimu na všech vašich systémech. Někteří lidé ve vaší organizaci jej však mohou nastavit na povolenou režimu (nebo v horším případě vypnuto ) spíše než odstraňovat a opravovat problémy. Musíte jej resetovat zpět do režimu vynucení a ujistit se, že všichni hostitelé jsou nakonfigurováni podobně. Ansible je vaše řešení.
[ Také by se vám mohlo líbit: Přístup k dokumentaci zásad SELinux ]
K nastavení režimu vynucení použijte Ansible
Následující příručka umožňuje SELinux a používá přiložený targeted
zásady:
---
- hosts: all
tasks:
- name: Enable SELinux in enforcing mode
ansible.posix.selinux:
policy: targeted
state: enforcing
Aby tato příručka fungovala, musíte mít nainstalovaný balíček ansible-collection-ansible-posix. Můžete jej nainstalovat pomocí správce balíčků. Například na Fedoře nebo Red Hat Enterprise Linux:
$ sudo dnf install ansible-collection-ansible-posix
Tuto příručku nazvěte selinux_enforceing.yml. Následující cronjob z /etc/crontab spouští tuto příručku jednou denně v 6:45:
# /etc/crontab: system-wide crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
45 6 * * * root ansible-playbook selinux_enforcing.yml
Nyní si můžete být jisti, že režimy SELinux budou resetovány na vynucování na všech spravovaných uzlech, na které je tato příručka použita.
Sbalit
I když může být užitečné dočasně nastavit SELinux na permisivní režimu pro počáteční řešení problémů, pravděpodobně to porušuje vaše podnikové bezpečnostní zásady. Někdy administrátoři nechají povolený režim na místě, ať už úmyslně nebo náhodně. Můžete použít Ansible, abyste zajistili, že SELinux je nastaven na režim vynucení pro všechny spravované uzly.
[ Zlepšete své dovednosti ve správě a používání SELinux pomocí tohoto užitečného průvodce. ]