21.3. SELinux

删除了通过 /etc/selinux/config 禁用 SELinux 的支持

在 RHEL 9.0 发行版本中，支持通过 /etc/selinux/config 文件中的 SELINUX=disabled 选项禁用 SELinux 已从内核中删除。当您只通过 /etc/selinux/config 禁用 SELinux 时，系统会以启用了 SELinux 的方式启动，但没有加载策略，SELinux 安全钩子仍注册在内核中。这意味着，使用 /etc/selinux/config 禁用的 SELinux 仍然需要一些系统资源，您应该在所有性能敏感的情况下使用内核命令行禁用 SELinux。

另外，Anaconda 安装程序和相应的 man page 已被更新以反映这个更改。此更改还为 Linux 安全模块(LSM)hook 启用只读初始保护功能。

如果您需要禁用 SELinux，请在内核命令行中添加 selinux=0 参数。

如需更多信息，请参阅删除对 SELinux 运行时禁用 Fedora wiki 页面。

SELinux 策略中限制的其他服务

RHEL 9.3 发行版本在限制以下 systemd 服务的 SELinux 策略中添加了额外的规则：

qat
systemd-pstore
boothd
fdo-manufacturing-server
fdo-rendezvous-server
fdo-client-linuxapp
fdo-owner-onboarding-server

因此，这些服务不会再使用 unconfined_service_t SELinux 标签运行，并可在 SELinux enforcing 模式下成功运行。

glusterd SELinux 模块移到单独的 glusterfs-selinux 软件包中

有了此更新，glusterd SELinux 模块在单独的 glusterfs-selinux 软件包中维护。因此，该模块不再是 selinux-policy 软件包的一部分。对于涉及 glusterd 模块的任何操作，请安装并使用 glusterfs-selinux 软件包。

返回顶部

21.3. SELinux

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links