LinuxParty
En las versiones CentOS 6.4 y RHEL 6.4 (ambas publicadas en marzo de 2013), se actualizó significativamente selinux-policy
, reparando errores y añadiendo mejoras en el confinamiento de procesos clave. A continuación, te explico los cambios más relevantes y cómo gestionarlos.
1. Montajes automáticos bloqueados (glusterd)
Con la actualización a CentOS 6.4, muchos usuarios reportaron que los montajes automáticos con GlusterFS fallaban durante el inicio del sistema cuando SELinux estaba en modo enforcing. Sólo funcionaban manualmente con mount -a
, lo que señalaba una política demasiado restrictiva. Este problema se solucionó rápidamente actualizando a selinux-policy-3.7.19-195.el6_4.3
en ambos sistemas (mjanja.ch).
2. Correcciones y extensiones de política en RHEL 6.4
La actualización de SELinux llevó dos grupos de cambios:
2.1 RHBA-2013:0537 — Corrección de error
-
Evita reinicios repetidos de
tuned
causados por múltiples reglas udev, solucionando una condición de carrera en el kernel (docs.redhat.com).
2.2 RHBA-2013:0314 — Varios ajustes
-
Permite login SSH a usuarios MLS creados en entornos con política MLS habilitada (BZ#837815).
-
Soluciona acceso denegado de trabajos OpenMPI al directorio
/var/lib/condor/execute/
(BZ#835923). -
Corrige la migración de VM en RHEV desde cadenas de políticas (BZ#857352).
-
Reforzada la variable
ssh_sysadm_login
: ahora evita login root si está desactivada (BZ#865759). -
Permite a
system-config-kdump
acceder a/etc/zipl.conf
en arquitecturas IBM System z, evitando errores de permisos (BZ#877108). -
Se corrigieron rechazos en otras herramientas relacionadas con System z (BZ#877932) (docs.redhat.com).
3. ¿Qué es selinux-policy
?
El paquete selinux-policy
contiene:
-
Reglas de Type Enforcement (TE)
-
Definiciones de RBAC
-
Soporte para MLS/MCS
-
Contextos de seguridad y perfiles para servicios comunes
En CentOS/RHEL, se usa por defecto la política targeted, que aisla procesos como Apache, MySQL o Samba, mientras deja otros sin restricciones (wiki.centos.org).
4. Recomendaciones para administradores
-
Mantén actualizado
selinux-policy
, especialmente tras usar servicios como GlusterFS o System z. -
Verifica modo actual con:
getenforce sestatus
-
Si un servicio se comporta mal, activa modo permisivo temporal:
setenforce 0
Reproduces el error, revisa
/var/log/audit/audit.log
, luego generas política conaudit2allow
. -
Tras crear o actualizar módulos, aplica con:
semodule -i tu-modulo.pp
-
Para reinstalar políticas estables:
yum update selinux-policy-targeted
5. Resumen comparativo
Aspecto | Cambio centOS 6.4 / RHEL 6.4 |
---|---|
Montajes GlusterFS | Políticas corregidas |
Modulo udev → tuned | Solución de reinicios |
OpenMPI y Condor | Acceso habilitado |
RHEV migration | Fluida tras política |
SSH MLS users | Ahora permitidos |
kdump System z | Acceso a zipl.conf |
🔚 Conclusión
Las actualizaciones de SELinux en CentOS 6.4 y RHEL 6.4 fortalecen la seguridad del sistema, corrigiendo restricciones excesivas que bloqueaban procesos importantes o montajes automáticos. Asegúrate de mantener el paquete selinux-policy
actualizado para evitar problemas. Si algo no funciona, el modo permisivo, audit2allow
y semodule
son tus aliados.

-
Programación
- Caja de herramientas de los programadores de Linux
- LinuxParty, el 11-S, Fallos HD, y Resucitamos como el Ave Fénix.
- A Linus no le gusta C++
- PHP5 Vs. CakePHP Vs. RubyOnRails.
- Curso / Manual de Programación Shell.
- Desarrolladores de código abierto no se deciden por la GPLv3
- LinuxParty, está en proceso de Mejora.
- Qué significa Foo ? Qué Significa Bar ? Foo y Bar
- Ensamblador en Linux, (asm) DesktopLinuxAsm - Programs
- Simulación de Ensamblador: GNU 8085 Simulator 1.3.2
- Portar código fuente C/C++ de Windows a Linux.
- Virtualización para reconciliar el código GLP y no GLP