La raison pour la désactiver est qu’il peut être difficile de déboguer.
Cependant, nous ne l'éteignons pas maintenant. Nous continuons presque toujours à le faire fonctionner. Je l'éteins parfois pour vérifier rapidement si SElinux pose un problème ou non.
Il est beaucoup plus facile de déboguer maintenant, surtout si vous vous familiarisez avec audit2allow. Vous n'avez pas vraiment besoin de le comprendre avec audit2allow, mais vous pouvez parfois vous retrouver plus ouvert que prévu avec audit2allow. Cela dit, certains SELinux valent mieux que rien.
Je ne suis en aucun cas un expert de SELinux et je ne l'utilise que depuis quelques années. Je ne comprends toujours pas vraiment les bases, mais j'en connais suffisamment pour faire fonctionner les applications, notamment celles incluses dans la distribution et les éléments aléatoires compilés sur le réseau.
La principale chose que j'ai dû utiliser sont le ls -lZ
(montrer contexte SELinux), audit2allow
, chcon
, semodule
, getenforce
, setenforce
et booléens. Avec ces outils, j'ai réussi à obtenir toutes les applications dont j'avais besoin pour exécuter SELinux.
Je trouve l’un des gros problèmes de débogage des problèmes SELinux, c’est simplement un rappel pour vérifier les problèmes SELinux lorsque j’ai d’autres problèmes inexplicables. Cela me prend habituellement un peu pour aller "h! Check SELinux !!".
Selon la page de manuel de bind, SELinux est beaucoup plus sûr que de lancer bind dans une prison chroot. Beaucoup d'autres personnes qui ont beaucoup plus d'indices que je le recommande également, je le cours maintenant à l'aveuglette. Et suspect malgré le problème occasionnel cela vaut probablement la peine d'être fait.