Si consiglia di assicurarsi che Security-Enhanced Linux (SELinux) sia in esecuzione in enforced modalità su tutti i tuoi sistemi. Tuttavia, alcune persone nella tua organizzazione potrebbero impostarlo su permissivo modalità (o peggio, disabilitato ) piuttosto che la risoluzione dei problemi e la risoluzione dei problemi. È necessario ripristinarlo alla modalità di applicazione e assicurarsi che tutti gli host siano configurati in modo simile. Ansible è la tua soluzione.
[ Potrebbe piacerti anche: Accesso alla documentazione delle norme di SELinux ]
Usa Ansible per impostare la modalità di applicazione
Il seguente playbook abilita SELinux e utilizza il targeted incluso politica:
---
- hosts: all
tasks:
- name: Enable SELinux in enforcing mode
ansible.posix.selinux:
policy: targeted
state: enforcing
Affinché questo playbook funzioni, devi avere installato il pacchetto ansible-collection-ansible-posix. Puoi installarlo usando il tuo gestore di pacchetti. Ad esempio, su Fedora o Red Hat Enterprise Linux:
$ sudo dnf install ansible-collection-ansible-posix Chiama questo playbook selinux_enforcing.yml. Il seguente cronjob da /etc/crontab esegue questo playbook una volta al giorno alle 6:45:
# /etc/crontab: system-wide crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
45 6 * * * root ansible-playbook selinux_enforcing.yml Ora puoi essere certo che le modalità di SELinux verranno ripristinate su enforcing su tutti i nodi gestiti a cui è applicato questo playbook.
Concludi
Anche se può essere utile impostare temporaneamente SELinux su permissivo modalità per la risoluzione dei problemi iniziale, è probabile che ciò violi le politiche di sicurezza aziendali. A volte gli amministratori lasciano in atto la modalità permissiva, deliberatamente o accidentalmente. È possibile utilizzare Ansible per assicurarsi che SELinux sia impostato sulla modalità di applicazione per tutti i nodi gestiti.
[ Migliora le tue abilità nella gestione e nell'uso di SELinux con questa utile guida. ]