Nachdem es mehrere Jahre lang veraltet war, kann Security Enhanced Linux „SELinux“, beginnend mit dem Linux 6.4-Kernel, nicht mehr zur Laufzeit deaktiviert werden.

Seit einer Weile hat SELinux die Laufzeitdeaktivierung zum Deaktivieren von SELinux über seine Konfigurationsdatei oder sysfs als veraltet markiert. Durch die Abschaffung der Laufzeitdeaktivierungsunterstützung können SELinux-Entwickler verschiedene Verbesserungen vornehmen, die derzeit durch diesen Code blockiert werden.

Diejenigen, die die SELinux-Unterstützung deaktivieren möchten, können dies immer noch über die Bootzeitoption selinux=0 tun oder beim Erstellen des Linux-Kernels den Kconfig-Schalter”CONFIG_SECURITY_SELINUX_DISABLE”umschalten.

* Laufzeit-Deaktivierungsfunktion entfernen
Nach mehreren Jahren Arbeit der Userspace-und Distributions-Leute sind wir endlich an einem Punkt angelangt, an dem wir uns wohlfühlen, die Laufzeit-Deaktivierungsfunktion zu entfernen, die wir ursprünglich als veraltet markiert hatten 2020. Es gibt viele Informationen in der Verwerfungsmitteilung (jetzt Entfernung) des Kernels, aber die Hauptmotivation war,
die LSM-Hook-Strukturen sicher als’__ro_after_init’markieren zu können.

Der SELinux-Lauf-Time-Deaktivierungsentfernung erfolgt als Teil dieser Pull-Anforderung, die für das neu geöffnete Linux aussteht 6.4 Zusammenführungsfenster.
Weitere Einzelheiten zu den technischen Gründen und weitere Informationen zu diesem SELinux-Lauf-time Deaktivierungsentfernung über this Patch.

Categories: IT Info