CentOS 6
Sponsored Link

SELinux : 動作モードの設定
2016/07/26
 
SELinux (Security-Enhanced Linux) の基本操作/設定です。
SELinux を設定することにより、各種リソースへの強制アクセス制御 (MAC - Mandatory Access Control) 機能が利用可能となります。
[1] SELinux が利用可能かどうかは、現在の動作モードを表示することで確認できます。
( システムインストール時のデフォルト動作モードは Enforcing )
# 現在の動作モード表示

[root@dlp ~]#
getenforce

Enforcing
# enforcing   ⇒ MAC 有効な状態 (デフォルト)
# permissive  ⇒ ポリシーに従って監査ログの記録のみ行う
# disabled    ⇒ 無効な状態

# 以下でも確認可 (Current mode 行が該当)

[root@dlp ~]#
sestatus

SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted
[2] permissive ⇔ enforcing の動作モード切り替えは setenforce コマンドで変更可能です。
ただし、システム再起動すると元々の設定に戻ります。
[root@dlp ~]#
getenforce

Enforcing
# setenforce 0 で Permissive に切り替え

[root@dlp ~]#
setenforce 0

[root@dlp ~]#
getenforce

Permissive
# setenforce 1 で Enforcing に切り替え

[root@dlp ~]#
setenforce 1

[root@dlp ~]#
getenforce

Enforcing
[3] 動作モードを恒久的に変更する場合は設定ファイルで設定します。
[root@dlp ~]#
vi /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
# 設定する動作モードに変更
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# 変更後はシステム再起動

[root@dlp ~]#
[4] 動作モードが無効な状態 (Disabled) から 有効な状態 (Enforcing/Permissive) に変更する場合は、リラべリングが必要になります。 これは、無効な状態の時に作成されたファイルは SELinux のラベル付けが行われていないため、それらについても SELinux によるアクセス制御を有効にするためには、後述する SELinux コンテキストと呼ばれる情報でラベル付けをする必要があるためです。 リラべリングは、システム再起動時の起動中に実行されますが、相応の時間がかかるため注意が必要です。
# 以下のように設定して再起動すると次回起動時にリラべリングされる

[root@dlp ~]#
touch /.autorelabel

[root@dlp ~]#
 
Tweet