Il motivo per disattivarlo è perché può essere un problema per il debug.
Tuttavia non lo disattiviamo ora. Quasi sempre lo facciamo funzionare. Di tanto in tanto lo spengo per verificare rapidamente se SElinux è un problema o meno.
E 'molto più facile eseguire il debug ora, specialmente se ti fai familiarizzare con audit2allow. Non è necessario capirlo con audit2allow, ma a volte si può finire per aprirli più largamente di quanto si pensi con audit2allow. Detto questo, SELinux è meglio di niente.
Non sono affatto un esperto SELinux e lo uso solo da un paio d'anni. Ancora non capisco davvero le basi, ma ne so abbastanza per far funzionare le app, tra quelle incluse con la distribuzione e cose casuali compilate della 'rete.
La cosa principale che ho avuto per l'uso sono il ls -lZ
(contesto di SELinux spettacolo), audit2allow
, chcon
, semodule
, getenforce
, setenforce
e booleani. Con quegli strumenti sono riuscito a ottenere tutte le app di cui avevo bisogno per funzionare con SELinux.
Trovo che uno dei suoi maggiori problemi con il debug dei problemi di SELinux, sia semplicemente ricordare di verificare i problemi di SELinux quando ho altri saggi inspiegabili problemi. Di solito mi serve un po 'di astuzia per andare "h! Controlla SELinux !!".
Secondo la pagina man di bind SELinux è molto più sicuro che eseguire bind in un carcere chroot. Un sacco di altre persone che hanno molte più indicazioni di quelle che consiglio anche io, quindi ora lo eseguo alla cieca. E sospetto, nonostante il problema occasionale, probabilmente vale la pena farlo.