Atualmente no Fedora, a funcionalidade Security Enhanced Linux (SELinux) que está lá por padrão pode ser desabilitada em tempo de execução via / etc / selinux / config, mas avançando com o Fedora 34, eles estão tentando remover esse suporte e se concentrando apenas na desativação via selinux = 0 no momento da inicialização do kernel para fornecer maior segurança.
No momento, no Fedora, aqueles que desejam renunciar às proteções de segurança podem passar selinux = 0 como a opção de linha de comando do kernel para desabilitar o suporte no momento da inicialização ou desabilitá-lo no arquivo / etc / selinux / config que por sua vez desabilita o suporte em tempo de execução
Mas a desabilitação do tempo de execução por meio do arquivo de configuração etc. está obsoleta no upstream e vem com um comprometimento de segurança em torno dos ganchos do módulo de segurança do Linux (LSM) do kernel.
Portanto, começando com o Fedora 34, o plano que está sendo analisado é desabilitar o suporte de desabilitação em tempo de execução e migrar usuários para garantir que eles estejam usando selinux = 0 como a opção do kernel para desabilitar o SELinux caso você não queira esse recurso por motivos de desempenho ou outros fatores. Para aqueles com SELinux habilitado, isso fornece mais possibilidades de fortalecimento de segurança.
Mais detalhes para aqueles interessados nesta mudança proposta para o Fedora 34 através do Fedora Wiki .
Até a próxima !!
Nenhum comentário:
Postar um comentário