SELinuxの基本とその無効化

SELinuxは、アメリカ国家安全保障局が開発したのLinuxのカーネルに強制アクセス制御を行うモジュールのとなります。

LinuxディストリビューションじゃないのでCentOSやUbuntuやらとは別のものになります。

システムに侵入されても中のファイルにはアクセスさせないよ! ってものなんですが大分強力なので、思わぬところで障害が発生してしまうことが有ります。

特にシステム開発をしている時にポートを別のものに変更すると、これが働いてアクセスできなくなったりします。

ある方がセキュリティは大幅に上がるのですが、先ほどの制約がかかるので、これを無効化してみます。

状態の確認

起動しているか

起動状態の確認は「getenforce」を使用して行えます。

$ getenforce

実行すると以下の様なメッセージが返ってきます。

• enforcing : SELinuxが有効
• permissive : SElinuxは警告は行うが、アクセス制限は行わない
• disabled : SELinuxが無効

詳細な情報の確認

起動状態の確認は「sestatus」を使用して行えます。

$ sestatus

実行すると以下の様なメッセージが返ってきます。

SELinux status:              enabled
SELinuxfs mount:             /sys/fs/selinux
SELinux root directory:      /etc/selinux
Loaded policy name:          targeted
Current mode:                enforcing
Mode from config file:       enforcing
Policy MLS status:           enabled
Policy deny_unknown status:  allowed
Max kernel policy version:   28

ステータスは起動となっていますね。

また、これを見ると設定ファイルが「/etc/selinux」にあることがわかります。

無効化

SELinuxを有効化している場合は「setenfoece」を使用して無効化できます。

$ setenforce 0

permissiveモードとなり制限は行いませんが、警告を発します。

$ setenforce 1

disabledモードとなり、無効化されます。

sentenforceでは一時的にしか無効化されないので、再起動すればまた有効化になります。

設定ファイルの編集

設定ファイルを編集すれば、再起動するときに有効化するか、無効化するかを選択できます。

CentOS7ですと、「/etc/selinux/config」になります。

この設定ファイルの「SELINUX=」の値を変更することで、設定を行えます。

この値には

• enforcing : SELinuxが有効
• permissive : SElinuxは警告は行うが、アクセス制限は行わない
• disabled : SELinuxが無効

を設定できます。