如果禁用selinux会发生什么问题[关闭]

我们从另一个团队那里继承了一堆二手服务器。其中有些启用了SELinux，有些则没有。由于SELinux的，我们是无法设置密码的ssh，我们的网络服务器等，我们发现一个变通此stackexchange网站，这是运行：

restorecon -R -v ~/.ssh

但是，由于我们不需要运行SELinux来完成工作，因此将其关闭可能比记住每个人都需要权限的目录运行上述cmd容易。

我们是否可以关闭SELinux而不产生任何影响，还是重新映像服务器更好？需要注意的一件事；我们的IT团队真的很忙，因此除非是绝对必要（需要非常好的业务案例），否则重新映像服务器的位置并不高...或者有人用一瓶苏格兰威士忌或威士忌贿赂老板。

更新：感谢大家的建议。这些服务器都将用作内部开发服务器。这些机器将不会有外部访问，因此安全性不是我们关注的重点。据我们所知，我们目前使用的所有服务器均未启用SELinux。我的经理刚刚获得的一些服务正在执行，而那些我们正在禁用的服务正在执行，因此集群中的所有内容都是统一的。

SELinux是操作系统的安全功能。它旨在帮助保护服务器的某些部分免受其他部分的侵害。

例如，如果您运行一个Web服务器，并且具有一些允许攻击者运行任意命令的“易受攻击”代码，那么SELinux可以通过阻止Web服务器访问不允许查看的文件来帮助缓解这种情况。

现在您可以禁用SELinux，它不会破坏任何东西。服务器将继续正常运行。

但是您将禁用其中一项安全功能。

SELinux的观点各不相同。在许多情况下，某些应用程序不能很好地与SELinux配合使用，因此这一决定毫无意义（Oracle是一个例子）。
通常，SELinux是一种保护机制，可为恶意分子想要破坏您的系统的方式设置另一个障碍。

在大公司担任系统管理员之前，我通常禁用SELinux。我没有时间跟踪用户，开发人员和管理人员正在使用的所有系统上的所有SELinux错误。

在禁用功能之前，您可能需要首先将系统上的文件重新标记为应有的名称。我找到的最简单的方法是输入命令：

 # /sbin/fixfiles onboot

要么

 # touch /.autorelabel

然后，重新启动并等待，因为系统将花费大约相同的时间来验证并重置系统中错误的SELinux标签。之后，您可能会满意，因为它可以修复和更正不合格的SELinux标签，这些标签在尝试管理服务器之前可能已被修改。

但是，如果不这样做，则不会在执行模式下不包含SELinux，不会对系统造成损害。这只是额外的保护层。

简而言之，禁用像SELinux这样的强制性访问控制（MAC）机制不是一个好主意，如果一个坏人成功规避了由自由访问控制（DAC）实现的基于名称的访问控制，则可能使您处于安全劣势。

是我，我会做类似的事情

semanage fcontext -a -t ssh_home_t ~/.ssh # Adding the policy
restorecon -R -v ~/.ssh # Applying the policy

以确保从中递归分配的类型标签~/.ssh

一般来说，您不应该禁用SELinux。有一些工具可以帮助您了解问题所在。我最喜欢的是sealert示例用法：

sealert -a /var/log/audit/audit.log

OFC始终可以将SELinux设置为允许模式进行调试，但是Red Hat认为将SELinux禁用或允许是严重的安全缺陷。