質問 :SELinux (Security Enhanced Linux) を完全に無効にする方法、または「許可」モードに設定する方法
答え :
SELinux は、システム内のリソースに追加のセキュリティ層を提供します。 DAC (任意アクセス制御) とは対照的に、MAC (強制アクセス制御) を提供します。 SELinux モードの設定に入る前に、さまざまな SELinux 操作モードとは何か、およびそれらがどのように機能するかを見てみましょう。 SELinux は 3 つのモードのいずれかで動作できます:
<強い>1.強制 :ポリシーに反するアクションはブロックされ、対応するイベントが監査ログに記録されます。
2.許容 :ポリシーに反するアクションは、監査ログにのみ記録されます。
3.無効 :SELinux が完全に無効になっています。
SELinux を完全に無効にするには 、次のいずれかの方法を使用します:
<強い>1. /etc/selinux/config を編集します (再起動が必要です)
SELINUX の値を SELINUX=disabled に変更します ファイル /etc/selinux/config.
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
サーバーを再起動します。
# shutdown -r now
<強い>2.カーネル起動オプションを追加
/boot/grub/grub.conf のカーネル ブート行を編集します selinux=0 を追加します カーネルの起動オプションに。例:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet selinux=0 initrd /initrd-2.6.9-42.ELsmp.img
サーバーを再起動します。
# shutdown -r now
SELinux を 許可モード に設定するには 、次のいずれかの方法を使用します:
1. SELinux モードを Permissive に一時的に設定します (再起動なし)
強制モードと許容モードを切り替えるには、setenforce コマンドを使用します。許可モードに変更するには:
# setenforce 0
getenforce コマンドを使用して、現在の SELinux モードを表示します:
# getenforce Permissive
<強い>2. SELinux を Permissive モードに永続的に設定する
あ。 /etc/selinux/config を編集
SELINUX の値を「SELINUX=permissive」に変更します
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
b.カーネル起動オプションを追加
カーネル ブート行を編集し、“enforcing=0” を追加します カーネル ブート オプションに追加します (上記のセクションのように SELinux が無効に設定されていないと仮定します)。例:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0 initrd /initrd-2.6.9-42.ELsmp.img
サーバーを再起動します。
# shutdown -r now
SELinux のステータスを確認するには、以下を発行します。
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28SELinux が有効か無効かを確認する方法