SELinux モード
SELinux は 3 つのモード (または状態) のいずれかで実行されます。
強制
これは、SELinux セキュリティ ポリシーを適用するデフォルトの状態です。 SELinux セキュリティ ポリシー ルールで許可されていない限り、ユーザーとプログラムへのアクセスは拒否されます。すべての拒否メッセージは、AVC (アクセス ベクター キャッシュ) 拒否としてログに記録されます。
許可
これは診断状態です。セキュリティ ポリシー ルールは適用されませんが、SELinux は拒否メッセージをログ ファイルに送信します。これにより、SELinux が強制モードで実行されていた場合に何が拒否されるかを確認できます。
無効
カーネルにポリシーがロードされていないため、SELinux はセキュリティ ポリシーを適用しません。アクセス制御には DAC ルールのみが使用されます。
SELinux モードの設定
SELinux モードを設定する方法は複数あります。 1 つの方法は、SELinux GUI のステータス ビューからモードを選択することです。 SELinux のメイン構成ファイル /etc/selinux/config を編集することもできます。このファイルの SELINUX ディレクティブを変更して、モードを設定します。たとえば、モードを enforcing に設定するには:
# vim /etc/selinux/config SELINUX=enforcing
setenforce コマンドは、強制モードと許容モードを切り替えるために使用されます。このコマンドで行った変更は、再起動後は保持されません。強制モードに変更するには:
# setenforce 1
許可モードに変更するには:
# setenforce 0
SELinux モードを表示
getenforce コマンドを使用して、現在の SELinux モードを表示します:
# getenforce EnforcingSELinux の初心者向けガイド
SELinux を無効にする方法、または Permissive モードに設定する方法
SELinux が有効か無効かを確認する方法
RHEL/CentOS で SELinux モードを有効/無効にする方法
理解するLinux の SELinux ポリシー