2.6. Cambio de los modos de SELinux en el arranque
En el arranque, puedes establecer varios parámetros del kernel para cambiar la forma en que SELinux se ejecuta:
- aplicación=0
La configuración de este parámetro hace que el sistema se inicie en modo permisivo, lo que resulta útil para solucionar problemas. El uso del modo permisivo puede ser la única opción para detectar un problema si su sistema de archivos está demasiado dañado. Además, en modo permisivo, el sistema sigue creando las etiquetas correctamente. Los mensajes AVC que se crean en este modo pueden ser diferentes que en el modo de aplicación.
En el modo permisivo, sólo se informa de la primera denegación de una serie de denegaciones iguales. Sin embargo, en el modo de aplicación, puede obtener una denegación relacionada con la lectura de un directorio, y una aplicación se detiene. En el modo permisivo, se obtiene el mismo mensaje de AVC, pero la aplicación continúa leyendo archivos en el directorio y se obtiene un AVC por cada denegación adicional.
- selinux=0
Este parámetro hace que el kernel no cargue ninguna parte de la infraestructura SELinux. Los scripts de init notan que el sistema arrancó con el parámetro
selinux=0
y tocan el archivo/.autorelabel
. Esto hace que el sistema se vuelva a etiquetar automáticamente la próxima vez que arranque con SELinux activado.ImportanteRed Hat no recomienda utilizar el parámetro
selinux=0
. Para depurar su sistema, prefiera utilizar el modo permisivo.- autorelabel=1
Este parámetro obliga al sistema a reetiquetar de forma similar a los siguientes comandos:
# touch /.autorelabel # reboot
Si un sistema de archivos contiene una gran cantidad de objetos mal etiquetados, inicie el sistema en modo permisivo para que el proceso de autoetiquetado tenga éxito.
Recursos adicionales
Para conocer otros parámetros de arranque del kernel relacionados con SELinux, como
checkreqprot
, consulte el archivo/usr/share/doc/kernel-doc-<KERNEL_VER>/Documentation/admin-guide/kernel-parameters.txt
instalado con el paquetekernel-doc
. Sustituya la cadena <KERNEL_VER> por el número de versión del kernel instalado, por ejemplo:# yum install kernel-doc $ less /usr/share/doc/kernel-doc-4.18.0/Documentation/admin-guide/kernel-parameters.txt