伊莉討論區

標題: 實務上SELinux大家都是開啟的嗎？ [打印本頁]

作者: tetsutei 時間: 2011-10-29 05:49 PM 標題: 實務上SELinux大家都是開啟的嗎？

最近安裝CentOS6後，發現很多service在開放的時候都會被SELinux擋起來，例如httpd的user home html等等想請問大家在實務上，SELinux都是打開Enforcing的嗎？還是都是關閉的？

作者: bryart 時間: 2011-10-30 02:54 PM

開著的,要學習跟SELinux相處而不是關掉它!!
比如說在/var/www/html/裡建資料記得建完檔案就要改SELinux
用ls -lZ看SELinux
比如說建好檔案就改 chcon -t httpd_sys_content_t xxx

作者: kk_eyny 時間: 2011-10-31 02:44 PM

我從來沒打開過
灌完os的第一件事就是關掉

作者: squallbg530 時間: 2011-11-1 11:55 AM

我也是從來沒有開過
到現在伺服器也沒有發生什麼事情過
SELINUX 要處理真的很麻煩

作者: a12345678178 時間: 2011-11-2 12:21 PM

如果是初學者, 最好先學學SELINUX如何使用再開啟它
不然一定做什麼事都會綁手綁腳

作者: richinmind 時間: 2011-11-11 11:44 PM

SELINUX很多限制，最好等完全明白才開啟，不然的話會有很多莫名其妙的問題發生。我多數是裝完馬上關掉。很想學，但沒時間。又覺得很煩，提不起興致。

作者: ptcat 時間: 2011-11-14 12:39 AM

我也是灌完關掉耶...
實在有點麻煩所以...

作者: lyhpcha 時間: 2011-11-19 11:45 PM

SELINUX開啟，會有很多奇怪的問題發生，有幾次忘了關閉，結果一堆服務都失敗，搞了好久才發現，只怪我學藝不精。而且系統又是重要的Oracle DB，手冊也教我們關閉，所以我也是都把它關閉

作者: 阿爾托利亞saber 時間: 2013-7-7 05:59 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: mnbvcxzgogo 時間: 2013-7-7 08:17 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: kuolung 時間: 2013-7-12 09:41 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: sengh 時間: 2013-7-23 09:44 PM

今時今日, production的機, 應該都是開著的吧.
一來, selinux 已比早前成熟
二來, 鳥哥的教學對此的說法, 亦沒有早前那樣斬釘截鐵叫人關了就算.
是初學的或玩著用的才會關吧.

作者: monster.g2 時間: 2013-7-27 11:55 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: ioioio9990 時間: 2013-7-30 05:15 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: chunchiech 時間: 2013-8-1 04:14 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: freeman211 時間: 2013-10-26 09:21 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: lyhpcha 時間: 2013-10-27 12:06 AM

公司的Oracle資料庫是關閉SELinux的，不敢把它打起來，怕會有一堆的問題出現。

作者: loke0205 時間: 2013-10-27 10:30 AM

ubuntu需要自己手動安裝...
GOOGLE鳥哥的selinux教學他教的還蠻詳細的

作者: sengh 時間: 2013-11-2 01:31 PM

lyhpcha 發表於 2011-11-19 11:45 PM
SELINUX開啟，會有很多奇怪的問題發生，有幾次忘了關閉，結果一堆服務都失敗，搞了好久才發現，只怪我學藝 ...

你說的"手冊"是 Oracle 的 official manual, 還是坊間買的中文天書?

作者: sengh 時間: 2013-11-2 01:38 PM

chunchiech 發表於 2013-8-1 04:14 PM
Selinux 不好用建議關掉.實務上server很少有人開那種的

很久之前在鳥哥的論壇上看見有人說: 台灣在國際間被供為駭客天堂, 伺服器保安都是弱弱的. 似乎又有佐証了.

作者: chunchiech 時間: 2013-11-3 10:20 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: 482iopiop 時間: 2013-11-5 10:40 PM

我都是關著的，開著要調整的東西太多了
事實上可以用其它資安設備來防護著

作者: mojamoja1202 時間: 2013-11-15 03:09 PM

嗯…
一開始小弟是灌完就把它disable
不過後來…小弟是沒再關過它，只是要背的指令變多了
不過習慣就覺得還好~^^~

作者: matrixdwy 時間: 2013-11-17 06:38 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: gwolf0719 時間: 2013-11-17 10:25 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: loke0205 時間: 2013-11-19 07:35 PM

感覺是要學者跟他共處吧selinux主要是增加主機的安全性

作者: richinmind 時間: 2013-11-25 04:15 PM

我從來沒打開過
灌完os的第一件事就是關掉 - 因為太多奇怪的事情發生。也沒時間慢慢學。

作者: longbest 時間: 2013-11-28 12:05 AM

實務上就是
不懂的人會先停用
再來就是看個人造化
多數人會選擇迴避並替代
有些人會去弄懂如何與它好好相處

作者: jwtialbert 時間: 2013-12-9 05:52 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: 玄成小豪 時間: 2013-12-10 03:35 PM

小弟電腦是ubuntu的SELinux以前有安裝過可是都不知道怎麼用
後來去看了鳥哥的書還是一樣開不起來
所以就把他丟著不用了

作者: mnbvcxzgogo 時間: 2013-12-14 11:41 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: 夏筱羽 時間: 2014-3-15 01:53 PM

本帖最後由夏筱羽於 2014-3-15 01:54 PM 編輯

安裝完第一件事關掉SELinux+1

作者: prostat 時間: 2014-3-28 02:40 PM

SELinux初期教設定的文章太少，所以反而造成很多問題，大部分會教人直接關掉。
實務上也是看主機的風險性決定要不要開，如果主機是常常會更動檔案的，例如允許上傳檔案的網站，設定上會很麻煩，所以通常關掉或只開記錄，如果是DNS主機、作為router的主機，那就可以開起來。

作者: airmax1015 時間: 2014-4-9 02:32 PM

只是練習就關掉吧..不然也以開著..遇到無解或找不到問題時就試著關掉它try try...

作者: chunchiech 時間: 2014-4-12 11:37 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: ntcbimd 時間: 2014-4-23 10:55 PM

Sure.
You must open SELinux.
SELinux can help you protect many attack.

作者: kym3 時間: 2014-5-16 02:01 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: smallanan 時間: 2014-6-15 01:42 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: heyoume 時間: 2014-12-18 12:56 AM

感覺起來，不太可能開發一個完全沒用的東西出來，
但是好像又不好用，我個人是把它關閉，
但建議還是學一下它比較好！

作者: jayzai 時間: 2014-12-20 01:54 PM

應該是要看你需要做甚麼運用吧,如果不了解的話就先關掉,不然會有很多你覺得奇怪的現象出現

作者: sloveliu 時間: 2015-2-1 06:29 PM

一灌完就關+1，初學者不想搞得太複雜
內部Server，服務能正常運作就好～
對外服務Server，有空再研究怎麼和平相處

作者: life98 時間: 2016-2-14 09:31 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: yanger99 時間: 2016-2-23 10:54 AM

我是一裝好後就關掉,因為前面已有防火牆可處理其它事情了,不關掉的話問題很多....

作者: Godspeed.Yen 時間: 2016-3-5 01:13 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: oasis33y 時間: 2016-3-17 10:28 AM

我把它關了
雖然覺得這樣有點沒出息
不過人生苦短, 時間用在別的地方比較好

作者: chevylin0802 時間: 2016-3-18 11:16 PM

本帖最後由 chevylin0802 於 2016-3-18 11:23 PM 編輯

並非每一個人都需要去用到SELinux
事實上有太多可替代的方案

一般個人在用的PC也通常不太會直接連接到外網
伺服器也一樣可以透過更安全性的網路架構來解決被駭客攻擊的問題

防火牆盡可能別用電腦去兜
一般我們都還是建議採用專業設備來做
即使是小公司小企業或者是個人
也可以靠wifi AP來做防火牆
最爛最差的狀況才會把工業級電腦或者是個人PC拿來架防火牆
事實上那是太過天真的想法
更何況市面上也有很多router switch比電腦還便宜

想要防止被駭甚至防止變成駭客的跳板
那麼唯一的方法就是盡可能讓你的File System設在唯讀的狀態
凡是只靠密碼保護的方式幾乎都有被破解的可能

作者: mason1202 時間: 2016-3-25 11:05 PM

對外提供服務建議開著
個人自用覺得煩，關

作者: Tequila7211 時間: 2016-3-27 12:37 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: LIAR2K 時間: 2016-5-18 12:23 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: sayiwish 時間: 2016-5-30 09:55 PM

我也是都直接關掉，大概是還不是很熟吧．．．．

歡迎光臨伊莉討論區 (http://a401.file-static.com/)