Alasan untuk mematikannya adalah karena dapat menyulitkan untuk debug.
Namun kami tidak mematikannya sekarang. Kami hampir selalu membuatnya berjalan. Saya kadang-kadang mematikannya untuk memverifikasi dengan cepat apakah SElinux adalah masalah atau tidak.
Jauh lebih mudah untuk debug sekarang, terutama jika Anda membuat diri Anda terbiasa dengan audit2allow. Anda tidak benar-benar perlu memahaminya dengan audit2allow, tetapi Anda dapat beberapa kali akhirnya membuka menipis lebih lebar daripada yang Anda pikirkan dengan audit2allow. Setelah mengatakan bahwa beberapa SELinux lebih baik daripada tidak sama sekali.
Saya tidak berarti seorang ahli SELinux dan hanya menggunakannya selama beberapa tahun. Saya masih tidak benar-benar memahami dasar-dasarnya, tetapi saya cukup tahu untuk menjalankan aplikasi, tetapi yang termasuk dengan distro dan hal-hal acak yang dikompilasi dari internet.
Hal utama yang saya punya untuk digunakan adalah ls -lZ
(acara konteks SELinux), audit2allow
, chcon
, semodule
, getenforce
, setenforce
dan boolean. Dengan alat-alat itu saya telah berhasil mendapatkan setiap aplikasi yang saya butuhkan untuk berjalan di bawah SELinux.
Saya menemukan salah satu masalah besar dengan debugging masalah SELinux ,, hanya mengingat untuk memeriksa masalah SELinux ketika saya memiliki masalah bijaksana yang tidak dapat dijelaskan. Biasanya saya butuh sedikit akal untuk pergi "h! Periksa SELinux !!".
Menurut halaman manual bind, SELinux jauh lebih aman daripada menjalankan bind di chroot jail. Banyak orang lain yang memiliki jauh lebih banyak petunjuk daripada saya juga merekomendasikannya sehingga saya menjalankannya secara membabi buta. Dan tersangka meskipun ada masalah sesekali, itu mungkin layak dilakukan.