Il est recommandé de s'assurer que Security-Enhanced Linux (SELinux) s'exécute dans l'application mode sur tous vos systèmes. Cependant, certaines personnes de votre organisation peuvent le définir sur permissif mode (ou pire, désactivé ) plutôt que de dépanner et de résoudre les problèmes. Vous devez le réinitialiser en mode d'application et vous assurer que tous les hôtes sont configurés de la même manière. Ansible est votre solution.
[ Vous pourriez également aimer : Accéder à la documentation sur les règles SELinux ]
Utilisez Ansible pour définir le mode d'application
Le playbook suivant active SELinux et utilise le targeted inclus politique :
---
- hosts: all
tasks:
- name: Enable SELinux in enforcing mode
ansible.posix.selinux:
policy: targeted
state: enforcing
Pour que ce playbook fonctionne, vous devez avoir installé le package ansible-collection-ansible-posix. Vous pouvez l'installer à l'aide de votre gestionnaire de packages. Par exemple, sur Fedora ou Red Hat Enterprise Linux :
$ sudo dnf install ansible-collection-ansible-posix Appelez ce playbook selinux_enforcing.yml. Le cronjob suivant de /etc/crontab exécute ce playbook une fois par jour à 6h45 :
# /etc/crontab: system-wide crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
45 6 * * * root ansible-playbook selinux_enforcing.yml Vous pouvez maintenant être sûr que les modes SELinux seront réinitialisés pour appliquer sur tous les nœuds gérés auxquels ce playbook est appliqué.
Récapitulez
Bien qu'il puisse être utile de définir temporairement SELinux sur permissif mode pour le dépannage initial, cela enfreint probablement les politiques de sécurité de votre entreprise. Parfois, les administrateurs laissent le mode permissif en place, délibérément ou accidentellement. Vous pouvez utiliser Ansible pour vous assurer que SELinux est défini sur le mode d'application pour tous les nœuds gérés.
[ Améliorez vos compétences dans la gestion et l'utilisation de SELinux grâce à ce guide utile. ]