Se recomienda asegurarse de que Security-Enhanced Linux (SELinux) se ejecuta en enforcing en todos sus sistemas. Sin embargo, algunas personas de su organización pueden configurarlo como permisivo. modo (o peor, deshabilitado ) en lugar de solucionar y solucionar problemas. Debe restablecerlo al modo de aplicación y asegurarse de que todos los hosts estén configurados de manera similar. Ansible es su solución.
[ También te puede interesar: Acceder a la documentación de la política de SELinux ]
Utilice Ansible para establecer el modo de ejecución
El siguiente libro de jugadas habilita SELinux y utiliza el targeted incluido política:
---
- hosts: all
tasks:
- name: Enable SELinux in enforcing mode
ansible.posix.selinux:
policy: targeted
state: enforcing
Para que este libro de jugadas funcione, debe tener instalado el paquete ansible-collection-ansible-posix. Puede instalarlo usando su administrador de paquetes. Por ejemplo, en Fedora o Red Hat Enterprise Linux:
$ sudo dnf install ansible-collection-ansible-posix Llame a este libro de jugadas selinux_enforcing.yml. El siguiente cronjob de /etc/crontab ejecuta este manual una vez al día a las 6:45 a. m.:
# /etc/crontab: system-wide crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
45 6 * * * root ansible-playbook selinux_enforcing.yml Ahora puede estar seguro de que los modos SELinux se restablecerán para hacer cumplir en todos los nodos administrados a los que se aplica este manual.
Resumir
Si bien puede ser útil establecer temporalmente SELinux en permisivo para la solución de problemas inicial, es probable que esto infrinja las políticas de seguridad corporativas. A veces, los administradores dejarán el modo permisivo en su lugar, ya sea de forma deliberada o accidental. Puede usar Ansible para asegurarse de que SELinux esté configurado en modo de aplicación para todos los nodos administrados.
[ Mejore sus habilidades para administrar y usar SELinux con esta útil guía. ]