SELinux'u kapatmalı mıyım?

Hayır, 2026 güvenlik standartlarında SELinux'u kapatmak (disabled) önerilmez. Bunun yerine 'Permissive' modunda logları izleyerek veya doğru politikaları (policies) oluşturarak 'Enforcing' modunda kullanmalısınız. Eka Sunucu VDS paketlerinde güvenlik önceliklidir.

SELinux Enforcing ve Permissive farkı nedir?

Enforcing modu, güvenlik politikalarını aktif olarak uygular ve ihlalleri engeller. Permissive modu ise ihlalleri sadece loglar (audit.log) ancak işlemi engellemez. Hata ayıklama için Permissive kullanılır.

Apache veya Nginx 403 hatası SELinux kaynaklı mı?

Web sunucularında (httpd_t) dosya bağlamları (file contexts) yanlış ayarlanmışsa 403 hatası alabilirsiniz. 'chcon' veya 'restorecon' komutları ile dosya etiketlerini düzelterek bu sorunu çözebilirsiniz.

Server Hardening 2026

SELinux: Linux Güvenliğinin Çelik Zırhı

Security-Enhanced Linux (SELinux), Linux çekirdeğine entegre edilmiş, zorunlu erişim denetimi (MAC) sağlayan gelişmiş bir güvenlik mimarisidir. 2026 yılında siber tehditlerin arttığı dijital dünyada, sunucularınızı sıfır güven (Zero Trust) prensibiyle korumanın en etkili yoludur.

Bu rehberde; SELinux'un çalışma mantığını, yapılandırma yöntemlerini, bağlam (context) yönetimini ve sorun giderme tekniklerini derinlemesine öğreneceksiniz.

Nasıl Çalışır? Güvenli VDS Sunucular

AlmaLinux & Rocky Tam Uyumlu Mimari

root@ekasunucu:~# sestatus

root@server:~# sestatus

SELinux status: enabled

SELinuxfs mount: /sys/fs/selinux

SELinux root directory: /etc/selinux

Loaded policy name: targeted

Current mode: enforcing

Mode from config file: enforcing

Policy MLS status: enabled

Policy deny_unknown status: allowed

Max kernel policy version: 33

MAC Mimarisi

Zorunlu Erişim Denetimi ile kullanıcı hatalarını izole edin.

Type Enforcement

Her dosya ve işlem için sıkı etiketleme ve tip denetimi.

Hata Ayıklama

Audit logları ve audit2allow ile sorunları hızlıca çözün.

Servis İzolasyonu

Apache, Nginx ve MySQL için tam korumalı alanlar.

SELinux Nedir ve 2026'da Neden Kritik?

Linux işletim sistemlerinde geleneksel güvenlik modeli DAC (Discretionary Access Control) yani İsteğe Bağlı Erişim Denetimi'dir. Bu modelde, bir dosyanın sahibi o dosya üzerinde kimin ne yapabileceğine (okuma, yazma, çalıştırma) karar verir. Ancak, root kullanıcısı veya yetkisi yükseltilmiş bir süreç, sistemdeki her şeye erişebilir. Bu durum, modern saldırılarda büyük bir güvenlik açığı oluşturur.

SELinux (Security-Enhanced Linux), bu açığı kapatmak için MAC (Mandatory Access Control) yani Zorunlu Erişim Denetimi modelini kullanır. NSA tarafından geliştirilen bu mimari, "Her şeye izin ver, yasaklananları engelle" mantığının tersine, "Her şeyi yasakla, sadece açıkça izin verilenlere yetki ver" prensibiyle çalışır.

2026 SEO ve Güvenlik Notu: Google ve diğer arama motorları, "Core Web Vitals" kapsamında sunucu yanıt sürelerini ve güvenliği (HTTPS, Malware-free) bir sıralama faktörü olarak kullanır. SELinux ile sıkılaştırılmış bir sunucu, zararlı yazılımların yayılmasını engelleyerek sitenizin "Güvenli" statüsünü korur ve SEO performansınızı dolaylı olarak artırır.

Özellikle Paylaşımlı Hosting ve Reseller Hosting ortamlarında, bir kullanıcının diğerine erişmesini engellemek için SELinux (veya CloudLinux CageFS gibi türevleri) hayati önem taşır.

DAC vs MAC

DAC (Standart Linux): Kullanıcı odaklıdır. Dosya sahibi izinleri belirler. Root her şeyi yapar.
MAC (SELinux): Politika odaklıdır. Sistem yöneticisi kuralları belirler. Root bile kurallara uymak zorundadır.

Sunucu Güvenliği Makaleleri

SELinux Modları ve Durum Yönetimi

SELinux üç farklı modda çalışabilir. Sunucunuzu yönetirken hangi modda olduğunuzu bilmek kritiktir.

Enforcing

Varsayılan ve önerilen moddur. Güvenlik politikaları aktif olarak uygulanır ve ihlaller engellenir. Loglama yapılır.

Permissive

Politikalar uygulanmaz, erişim engellenmez ancak ihlaller audit.log dosyasına kaydedilir. Hata ayıklama (debug) için kullanılır.

Disabled

SELinux tamamen kapalıdır. Hiçbir denetim veya loglama yapılmaz. Önerilmez. Tekrar açmak için sunucu yeniden başlatılmalıdır.

Temel Komutlar

Mevcut durumu kontrol etmek için:

sestatus
# Veya sadece modu görmek için:
getenforce

Geçici olarak mod değiştirmek (Reboot sonrası sıfırlanır):

# Permissive moda geçiş
setenforce 0

# Enforcing moda geçiş
setenforce 1

Kalıcı olarak mod değiştirmek için /etc/selinux/config dosyasını düzenlemelisiniz:

nano /etc/selinux/config
# SELINUX=enforcing satırını düzenleyin

SELinux Bağlamları (Contexts)

SELinux, her süreci, dosyayı, dizini ve portu bir "etiket" (label) ile işaretler. Bu etikete SELinux Context denir. Bir süreç (Process), sadece etiketi uyumlu olan nesnelere erişebilir.

Etiket yapısı şöyledir: user:role:type:level

User (u): SELinux kullanıcısı (Linux kullanıcısından farklıdır). Sonu _u ile biter.
Role (r): Kullanıcının rolü. Sonu _r ile biter.
Type (t): En önemli kısımdır. Type Enforcement burada devreye girer. Sonu _t ile biter. (Örn: httpd_t, admin_home_t).
Level (l): MLS/MCS güvenlik seviyesi (s0, c0.c1023).

Dosyaların etiketlerini görmek için -Z parametresini kullanırız:

ls -Z /var/www/html
# Çıktı: system_u:object_r:httpd_sys_content_t:s0 index.html

Web Sunucuları ve Dosya Etiketleme

Özellikle WordPress veya diğer CMS sistemlerini kurarken, Apache/Nginx'in dosyalara yazma izni (örneğin resim yükleme) gerekebilir. Dosya izinleri (chmod 755) doğru olsa bile, SELinux etiketi yanlışsa erişim reddedilir.

Geçici Etiketleme (chcon)

chcon komutu dosya etiketini değiştirir ancak dosya sistemi yeniden etiketlendiğinde (relabel) bu değişiklik kaybolur.

# Apache'nin okuyabilmesi için:
chcon -t httpd_sys_content_t /var/www/html/index.php

# Apache'nin yazabilmesi için (Upload klasörleri):
chcon -t httpd_sys_rw_content_t /var/www/html/wp-content/uploads

Kalıcı Etiketleme (semanage)

Değişikliklerin kalıcı olması için semanage fcontext kullanılır. Bu, politika veritabanına kural ekler.

# Kuralı veritabanına ekle:
semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/html/uploads(/.*)?"

# Kuralı dosya sistemine uygula:
restorecon -Rv /var/www/html/uploads

Yaygın Web Etiketleri

Etiket Tipi (Type)	Açıklama	Kullanım Alanı
`httpd_sys_content_t`	Sadece okuma izni (Read-only)	Statik dosyalar, .php dosyaları
`httpd_sys_rw_content_t`	Okuma ve Yazma izni (Read/Write)	Cache, Upload, Log klasörleri
`httpd_log_t`	Log dosyaları	Apache/Nginx log dizinleri

Booleans ve Hata Giderme

SELinux Booleans, güvenlik politikasını yeniden derlemeden belirli özellikleri açıp kapatmanıza yarayan anahtarlardır. Örneğin, Apache'nin veritabanına bağlanmasına veya mail göndermesine izin vermek için boolean ayarlarını değiştirmelisiniz.

# Tüm booleanları listele
getsebool -a | grep httpd

# Apache'nin ağ üzerinden veritabanına bağlanmasına izin ver (WordPress için kritik)
setsebool -P httpd_can_network_connect_db 1

# Apache'nin sendmail kullanmasına izin ver
setsebool -P httpd_can_sendmail 1

* -P parametresi değişikliğin kalıcı (Permanent) olmasını sağlar.

Sorun Giderme: audit2allow

Bir erişim reddedildiğinde, bu durum /var/log/audit/audit.log dosyasına kaydedilir. Bu logları analiz etmek ve otomatik izin kuralı oluşturmak için audit2allow aracı harikadır.

# Son engellenen hataları insan okunabilir formatta gör:
ausearch -m avc -ts recent

# Hatalardan otomatik olarak bir izin modülü oluştur:
grep httpd /var/log/audit/audit.log | audit2allow -M my_httpd_policy

# Oluşturulan modülü yükle:
semodule -i my_httpd_policy.pp