CentOS Stream 10
Sponsored Link

SELinux : ポリシータイプの設定2025/01/02


SELinux が [enforcing/permissive] で動作している場合、どのポリシータイプを適用するかを設定することができます。

ポリシータイプは [/etc/selinux/config] 設定ファイルで設定変更可能です。
デフォルトは [targeted] ポリシーです。

最小構成インストールの場合、デフォルトでは [targeted] ポリシーのみがインストールされています。


[1] ポリシータイプは [SELINUXTYPE=***] で設定します。
# デフォルトは [targeted] ポリシー

[root@dlp ~]#
cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
# See also:
# https://docs.fedoraproject.org/en-US/quick-docs/getting-started-with-selinux/#getting-started-with-selinux-selinux-states-and-modes
# NOTE: In earlier Fedora kernel builds, SELINUX=disabled would also
# fully disable SELinux during boot. If you need a system with SELinux
# fully disabled instead of SELinux running with no policy loaded, you
# need to pass selinux=0 to the kernel command line. You can use grubby
# to persistently set the bootloader to boot with selinux=0:
#    grubby --update-kernel ALL --args selinux=0
# To revert back to SELinux enabled:
#    grubby --update-kernel ALL --remove-args selinux
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.

# 例として [mls] ポリシーに変更
# 事前にポリシーファイルをインストール

[root@dlp ~]#
dnf -y install selinux-policy-mls
# ポリシーファイルが [mls] ディレクトリ配下にインストールされる

[root@dlp ~]#
ll /etc/selinux

total 8
-rw-r--r--. 1 root root 1187 Dec 14 18:32 config
drwxr-xr-x. 6 root root  150 Jan  2 12:34 mls
-rw-r--r--. 1 root root 2668 Nov 12 09:00 semanage.conf
drwxr-xr-x. 5 root root  133 Jan  2 12:30 targeted

[root@dlp ~]#
vi /etc/selinux/config
# ポリシー変更の際は動作モードを [permissive] に変更
# * [enforcing] のまま再起動するとリラベリングできずシステムが起動しなくなるため注意

# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are proo
#     mls - Multi Level Security protection.

# 変更後はリラべリングをセットしてシステム再起動

[root@dlp ~]#
fixfiles -F onboot

System will relabel on next boot
[root@dlp ~]#
[root@dlp ~]#

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             mls
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     denied
Memory protection checking:     actual (secure)
Max kernel policy version:      33

パッケージとして提供されているポリシーは以下の 2 種類です。

ポリシー 説明
Targeted システム上で攻撃対象となる可能性の高いプロセスに対してアクセス制御を適用するポリシー (デフォルト)。
MLS Multilevel Security ポリシー。Bell–LaPadula (BLP) モデルを実装し、より細かなアクセス制御が適用可能。
