Seguridad

Configuración del modo de aplicación de SELinux con Ansible

está estimado Asegúrese de que Security-Enhanced Linux (SELinux) esté hacer cumplir modo en todos los sistemas.Sin embargo, algunas personas de su organización pueden configurarlo para Déjalo ir modo (o peor, discapacitado) en lugar de solucionar y solucionar problemas. Debe restablecerlo al modo de aplicación y asegurarse de que todos los hosts estén configurados de manera similar. Ansible es tu solución.

[ You might also like: Accessing SELinux policy documentation ]

Establecer el modo de ejecución con Ansible

El siguiente libro de jugadas habilita SELinux y utiliza el targeted política:

---
- hosts: all
  tasks:
  - name: Enable SELinux in enforcing mode
    ansible.posix.selinux:
      policy: targeted
      state: enforcing

Para que este libro de jugadas funcione, debe tener ansible-colección-ansible-posix Paquete de instalación. Puedes instalarlo usando un administrador de paquetes. Por ejemplo, en Fedora o Red Hat Enterprise Linux:

$ sudo dnf install ansible-collection-ansible-posix

llama a este libro de jugadas selinux_enforcing.ymlEl siguiente cronjob proviene de /etc/crontab Ejecute este libro de jugadas una vez al día a las 6:45 am:

# /etc/crontab: system-wide crontab
 
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
 

45 6 * * * root ansible-playbook selinux_enforcing.yml

Ahora puede estar seguro de que el modo SELinux se restablecerá a hacer cumplir En todos los nodos administrados donde se aplica este libro de jugadas.

envolver

Mientras configura temporalmente SELinux para Déjalo ir Modo de solución de problemas inicial, que puede violar su política de seguridad corporativa. A veces, los administradores mantienen el modelo de licencia a propósito o no. Puede usar Ansible para asegurarse de que SELinux esté configurado en modo de aplicación en todos los nodos administrados.

[ Improve your skills in managing and using SELinux with this helpful guide. ]

LEER  El potencial de daño del error 'crítico' de Linux Sudo puede ser realmente pequeño

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba