2.3. SELinux no GFS2

O uso do Security Enhanced Linux (SELinux) com GFS2 incorre em uma pequena penalidade de desempenho. Para evitar esta sobrecarga, você pode optar por não utilizar o SELinux com GFS2 mesmo em um sistema com SELinux em modo de aplicação. Ao montar um sistema de arquivo GFS2, você pode garantir que o SELinux não tentará ler o elemento seclabel em cada objeto do sistema de arquivo usando uma das opções context, conforme descrito na página de manual mount(8); o SELinux assumirá que todo o conteúdo do sistema de arquivo está etiquetado com o elemento seclabel fornecido nas opções de montagem context. Isto também agilizará o processamento, pois evita outra leitura em disco do bloco de atributos estendido que poderia conter elementos seclabel.

Por exemplo, em um sistema com SELinux em modo de aplicação, você pode usar o seguinte comando mount para montar o sistema de arquivos GFS2 se o sistema de arquivos for conter conteúdo Apache. Esta etiqueta será aplicada a todo o sistema de arquivo; ela permanece na memória e não é gravada em disco.

# mount -t gfs2 -o context=system_u:object_r:httpd_sys_content_t:s0 /dev/mapper/xyz/mnt/gfs2

Se você não tiver certeza se o sistema de arquivo conterá conteúdo Apache, você pode usar os rótulos public_content_rw_t ou public_content_t, ou você pode definir um novo rótulo e definir uma política em torno dele.

Observe que em um cluster Pacemaker você deve sempre usar Pacemaker para gerenciar um sistema de arquivos GFS2. Você pode especificar as opções de montagem ao criar um recurso de sistema de arquivo GFS2.