41 votes

Jeff Hillman avatar

Raisons de désactiver / activer SELinux

Demandé el 24 de Juin, 2009
Quand la question a-t-elle été
22748 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans la lignée de ce question sur StackOverflow et la foule complètement différente que nous avons ici, je me demande : quelles sont vos raisons de désactiver SELinux (en supposant que la plupart des gens le font encore) ? Souhaitez-vous le garder activé ? Quelles anomalies avez-vous rencontrées en laissant SELinux activé ? En dehors d'Oracle, quels autres fournisseurs ont des difficultés à prendre en charge les systèmes avec SELinux activé ?

Question bonus : Quelqu'un a-t-il réussi à faire fonctionner Oracle sur RHEL5 avec SELinux en mode ciblé ? Je veux dire, strict serait génial, mais je ne pense pas que ce soit encore possible, donc restons d'abord sur le mode ciblé ;-)

Demandé el 24 de Juin, 2009 par Jeff Hillman

Réponses

Trop de publicités?

1voto

Federico avatar
Federico Points 351

Il n'y a aucune raison de l'éteindre quand on peut le faire fonctionner en mode Permissif. Il n'interférera pas avec l'application en cours d'exécution et fournira toujours une journalisation de sécurité utile. La seule exception concerne les contextes d'utilisateur : si vous passez d'un utilisateur à un autre vivant dans une autre instance linux exécutée dans un chroot, vous pourriez avoir des problèmes.

Répondu el 26 de Juin, 2009 par Federico (351 Points )

0 votes

Avatar de Brad

En fait, il existe des cas où SELinux peut interférer avec les applications en mode Permissif. Le premier : à certains moments, certaines règles ont été appliquées, bien que le système soit configuré en mode permissif. Je ne sais pas si c'est toujours le cas. Deux : le temps nécessaire au traitement des règles peut être suffisant pour perturber l'IPC. J'ai vu cela avec les clusters Oracle. Encore une fois dans le passé et je ne suis pas sûr de l'état actuel. Mais rappelez-vous que presque chaque appel système a un petit temps de traitement qui lui est ajouté.

Commenté el 28 de Juillet, 2014 par Brad

0voto

Pontus avatar
Pontus Points 730

SE Linux n'est pas aussi désespérément hostile qu'il l'était, du moins il ne l'est pas dans les distros commerciales comme RHEL5. Dans la plupart des cas, vous pouvez le laisser allumé, et il fonctionnera bien avec tout ce qui est fourni par RedHat. Avec tout autre système, cela peut être variable. Le problème est que le travail de service professionnel pour faire fonctionner les applications avec SE Linux activé est une belle source de revenus pour des sociétés comme RedHat et Oracle, ils n'ont donc aucune incitation à faire en sorte que tout fonctionne bien ootb.

Répondu el 24 de Juin, 2009 par Pontus (730 Points )

0 votes

Avatar de Jeff Hillman

Je ne pense pas qu'Oracle supporte officiellement SELinux.

Commenté el 24 de Juin, 2009 par Jeff Hillman

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X