2.3. SELinux en GFS2
El uso de Security Enhanced Linux (SELinux) con GFS2 incurre en una pequeña penalización de rendimiento. Para evitar esta sobrecarga, puede optar por no utilizar SELinux con GFS2 incluso en un sistema con SELinux en modo de aplicación. Al montar un sistema de archivos GFS2, puede asegurarse de que SELinux no intente leer el elemento seclabel
en cada objeto del sistema de archivos utilizando una de las opciones context
como se describe en la página man mount
(8); SELinux asumirá que todo el contenido del sistema de archivos está etiquetado con el elemento seclabel
proporcionado en las opciones de montaje context
. Esto también acelerará el procesamiento ya que evita otra lectura en disco del bloque de atributos extendidos que podría contener elementos de seclabel
.
Por ejemplo, en un sistema con SELinux en modo de aplicación, puede utilizar el siguiente comando mount
para montar el sistema de archivos GFS2 si el sistema de archivos va a contener contenido de Apache. Esta etiqueta se aplicará a todo el sistema de archivos; permanece en la memoria y no se escribe en el disco.
# mount -t gfs2 -o context=system_u:object_r:httpd_sys_content_t:s0 /dev/mapper/xyz/mnt/gfs2
Si no está seguro de si el sistema de archivos tendrá contenido Apache, puede utilizar las etiquetas public_content_rw_t
o public_content_t
, o puede definir una nueva etiqueta y definir una política en torno a ella.
Tenga en cuenta que en un clúster de Pacemaker siempre debe utilizar Pacemaker para gestionar un sistema de archivos GFS2. Puede especificar las opciones de montaje cuando cree un recurso de sistema de archivos GFS2.