Причина выключить его состоит в том, потому что это может быть боль для отладки.
Однако мы не выключаем его теперь. Мы почти всегда поддерживаем его в рабочем состоянии. Я действительно иногда выключаю его, чтобы быстро проверить, является ли SElinux проблемой или нет.
Это' намного легче отладить теперь, особенно если Вы делаете себя familir с audit2allow. Вы не должны действительно понимать это с audit2allow, но Вы можете несколько раз заканчивать тем, что открылись, утончается шире, чем Вы думаете с audit2allow. Сказав, что некоторый SELinux не лучше, чем ни один.
Я ни в коем случае не эксперт SELinux и только использовал его в течение нескольких лет. Я все еще действительно не понимаю основы, но я знаю достаточно для получения выполнения приложений, btoh включенные с дистрибутивом и случайным материалом, скомпилированным 'сети.
Главное, которое я должен был использовать, ls -lZ
(покажите selinux контекст), audit2allow
, chcon
, semodule
, getenforce
, setenforce
и булевские переменные. С теми инструментами мне удалось получить каждое приложение, в котором я нуждался к выполнению под SELinux.
Я нахожу одного из него большие проблемы с отладкой проблем SELinux, просто remebering для проверки на проблемы SELinux, когда у меня есть другие мудрые необъяснимые проблемы. Обычно мне требуется немного хитрости для движения "h! проверьте SELinux!!".
Согласно связывать странице справочника SELinux намного более безопасен, чем выполнение связывает в chroot тюрьме. Много других людей, у которых есть намного больше подсказки, чем я также, рекомендует это так, я выполняю его вслепую теперь. И подозреваемый несмотря на случайную проблему это, вероятно, стоит сделать.
Если DNS не разрешит имя хоста системы к IP, вещи могут повредиться, в зависимости от того, как они настроены — если Вы вручную не добавляете запись в /etc/hosts
. Это, кажется, один из тех случаев. Реверс может также применяться в некоторых ситуациях, также.
Это обычно полагало, что хорошая практика добавляет такую запись в /etc/hosts
— на самом деле большинство операционных систем Unixish имеет тенденцию делать это для Вас как часть их первоначальной конфигурации (или при использовании DHCP когда они получают арендный договор).
Я полагаю, что это потребовало, но можно выйти сухим из воды, не будучи указанным правильно в некоторых случаях, но в случаях других Вы найдете проблемы, где вещи не будут работать. Я неопределенно вспоминаю проблемы с Apache, и я вижу, что Tomcat имеет проблемы также.
Если демон попытается сослаться или разрешить локальное имя хоста, и оно не указано, то оно перестанет работать. Например, имя хоста является неотъемлемой частью SMTP.