SELinuxの基本とその無効化
2015/02/27
SELinuxは、アメリカ国家安全保障局が開発したのLinuxのカーネルに強制アクセス制御を行うモジュールのとなります。
LinuxディストリビューションじゃないのでCentOSやUbuntuやらとは別のものになります。
システムに侵入されても中のファイルにはアクセスさせないよ! ってものなんですが大分強力なので、思わぬところで障害が発生してしまうことが有ります。
特にシステム開発をしている時にポートを別のものに変更すると、これが働いてアクセスできなくなったりします。
ある方がセキュリティは大幅に上がるのですが、先ほどの制約がかかるので、これを無効化してみます。
状態の確認
起動しているか
起動状態の確認は「getenforce」を使用して行えます。
$ getenforce
実行すると以下の様なメッセージが返ってきます。
- enforcing : SELinuxが有効
- permissive : SElinuxは警告は行うが、アクセス制限は行わない
- disabled : SELinuxが無効
詳細な情報の確認
起動状態の確認は「sestatus」を使用して行えます。
$ sestatus
実行すると以下の様なメッセージが返ってきます。
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28
ステータスは起動となっていますね。
また、これを見ると設定ファイルが「/etc/selinux」にあることがわかります。
無効化
SELinuxを有効化している場合は「setenfoece」を使用して無効化できます。
$ setenforce 0
permissiveモードとなり制限は行いませんが、警告を発します。
$ setenforce 1
disabledモードとなり、無効化されます。
sentenforceでは一時的にしか無効化されないので、再起動すればまた有効化になります。
設定ファイルの編集
設定ファイルを編集すれば、再起動するときに有効化するか、無効化するかを選択できます。
CentOS7ですと、「/etc/selinux/config」になります。
この設定ファイルの「SELINUX=」の値を変更することで、設定を行えます。
この値には
- enforcing : SELinuxが有効
- permissive : SElinuxは警告は行うが、アクセス制限は行わない
- disabled : SELinuxが無効
を設定できます。
googleadsense336
googleadsense336
関連記事
-
[Unix] WhoisをCentOSにインストールして実行+なんとか
Whoisはドメインの所有者を確かめるコマンドです。 誰がどのドメインを所持して …
-
[Linux] CentOSなどのLinuxディストリビューションの名前とバージョンをコマンドラインから確認する
使用しているOSなんだっけ? とかバージョンは? とか迷った時に表示するコマンド …
-
FTPで550エラーとか返されてファイルの変更ができない時の一つの対処法
FTPでサーバーにアクセスしたいのにファイルの中身は見れても更新ができない時はア …
-
[CentOS7] 外部からの接続を遮断しているのはFirewalldだった!
CentOS7では初期設定でfirewalldが立ち上がっており、sshの22以 …
-
[MAMP] Mac上でお手軽にwebサーバーを構築する
Macでwebサーバーを構築する方法です。 Macには最初からApache2がイ …
-
[ServersMan@VPS] 外部サーバーにSSH接続する
ServersMan@VPSのサーバーにSSH接続する方法です。 AjaxTer …
-
[Apache] ポートがかぶっていてApacheを起動できなかった話
CentOS 7+Apache 2.4 の話です。 まだ、完全な解決には至ってい …
-
[Unix] Unix系のOSでCPUの情報を確認する方法
Unix系OSのCPU情報をコマンドラインから、確認します。 CPUの情報は「/ …
-
[UnixBench] MacとCentOS上でUnixBenchでベンチマークテストをしてみる
UnixでCUIでベンチマークを行うフリーソフトとして、UnixBenchがあり …
-
[ブラウザ] “view-source”とアドレスバーに打ち込んでwebページのソースを閲覧
「webサイトのを作成する時書いたコードが反映されているか、また他のサイトはどん …