SELinux : ポリシータイプの設定2021/03/02 |
SELinux が [enforcing/permissive] で動作している場合、どのポリシータイプを適用するかを設定することができます。
設定したポリシータイプをベースに、必要に応じて、個別に要/不要なポリシーを追加/変更/削除して、カスタマイズ設定します。
ポリシータイプは [/etc/selinux/config] 設定ファイルで設定変更可能です。
デフォルトは [targeted] ポリシーです。
ただし、ポリシータイプを変更する場合、ポリシーファイルがインストールされている必要があります。
最小構成インストールの場合、デフォルトでは [targeted] ポリシーのみがインストールされています。
インストールされてないポリシータイプを指定すると、システムが起動しなくなるため、重々注意が必要です。
|
|
[1] | ポリシータイプは [SELINUXTYPE=***] で設定します。 |
# デフォルトは [targeted] ポリシー [root@dlp ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted # ポリシーファイルが [minimum] ディレクトリ配下にインストールされる [root@dlp ~]# ll /etc/selinux total 8 -rw-r--r--. 1 root root 548 Feb 18 15:45 config drwxr-xr-x. 5 root root 133 Feb 25 11:23 minimum -rw-r--r--. 1 root root 2647 Feb 4 06:55 semanage.conf drwxr-xr-x. 5 root root 133 Feb 25 11:21 targeted
[root@dlp ~]#
vi /etc/selinux/config # [SELINUXTYPE] 変更 # ポリシー変更の際は動作モードを [permissive] に変更 # * [enforcing] のまま再起動するとリラベリングできずシステムが起動しなくなることがあるため注意 # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=minimum[root@dlp ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: minimum # 変更された
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
|
[2] | 設定ファイル中に例示してある通り、パッケージとして提供されているポリシーは以下の三種類です。
|
Sponsored Link |
|