Security-Enhanced Linux(SELinux)が強制で実行されていることを確認することをお勧めします すべてのシステムでモード。ただし、組織内の一部の人は、それを許容に設定する場合があります モード(またはさらに悪いことに、無効 )問題のトラブルシューティングと修正ではなく。強制モードにリセットし、すべてのホストが同様に構成されていることを確認する必要があります。 Ansibleがソリューションです。
[次のこともお勧めします:SELinuxポリシードキュメントへのアクセス]
Ansibleを使用して強制モードを設定します
次のプレイブックはSELinuxを有効にし、付属のtargetedを使用します ポリシー:
---
- hosts: all
tasks:
- name: Enable SELinux in enforcing mode
ansible.posix.selinux:
policy: targeted
state: enforcing
このプレイブックを機能させるには、ansible-collection-ansible-posixパッケージをインストールする必要があります。パッケージマネージャーを使用してインストールできます。たとえば、FedoraまたはRed Hat Enterprise Linuxの場合:
$ sudo dnf install ansible-collection-ansible-posix このプレイブックをselinux_enforcing.ymlと呼びます。 / etc / crontabからの次のcronジョブは、このプレイブックを1日1回午前6時45分に実行します。
# /etc/crontab: system-wide crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
45 6 * * * root ansible-playbook selinux_enforcing.yml これで、SELinuxモードが強制にリセットされることを確信できます。 このプレイブックが適用されるすべての管理対象ノード。
まとめ
SELinuxを一時的にpermissiveに設定すると便利な場合があります 初期トラブルシューティングのモード。これは、企業のセキュリティポリシーに違反している可能性があります。管理者は、意図的または偶発的に、許容モードをそのままにしておくことがあります。 Ansibleを使用して、SELinuxがすべての管理対象ノードに対して強制モードに設定されていることを確認できます。
[この役立つガイドを使用して、SELinuxの管理と使用のスキルを向上させてください。 ]