Seguretat
Alinear la política de SELinux amb el nucli actual
En el llançament de Fedora 34, la política de SELinux s’ha actualitzat per coincidir amb l’estat del nucli actual de manera que SELinux pugui utilitzar les característiques proporcionades pel nucli.
Les millores a la política de SELinux inclouen nous:
-
classes:
lockdown,perf_event -
permisos:
watch,watch_mount,watch_reads,watch_sb,watch_with_perm -
capacitats:
bpf,checkpoint_restore,perfmon
Aquesta actualització aporta una millor granularitat per atorgar permisos, cosa que té beneficis de seguretat posteriors.
S’ha eliminat el suport per desactivar SELinux a través de /etc/selinux/config
Amb aquesta versió, el suport per desactivar SELinux mitjançant l’opció SELINUX=disabled al fitxer /etc/selinux/config s’ha eliminat del nucli. A més, el programa d’instal·lació Anaconda i les corresponents pàgines del manual s’han actualitzat per reflectir aquest canvi. Aquest canvi també habilita la protecció de només lectura després de la inicialització per als ganxos del Mòdul de Seguretat de Linux (LSM).
Si el vostre escenari requereix desactivar SELinux, afegiu el paràmetre selinux=0 a la línia d’ordres del nucli.
Consulteu la secció Canviar estats i modes de SELinux als Documents ràpids de Fedora i l’enllaç https://fedoraproject.org/wiki/Changes/Remove_Support_For_SELinux_Runtime_Disable per a més informació.
Want to help? Learn how to contribute to Fedora Docs ›