SELinux
SELinux (Security-Enhanced Linux) は、Linuxカーネルに統合されたセキュリティモジュールで、強制アクセス制御 (MAC: Mandatory Access Control) を提供します。これは、システム管理者が定義したポリシーに基づいてアクセス権限を制御し、より高いセキュリティレベルを実現するための仕組みです。開発環境などでは無効にしておく方が良い場合もあります。
SELinuxのステータス
SELinuxのステータスには主に以下の3つがあります.
| ステータス | 説明 |
|---|---|
| Enforcing (強制モード) | – SELinuxが有効になっており、ポリシーに従ってアクセス制御を強制的に適用します。 – 許可されていない操作はブロックされ、ログに記録されます。 – 通常の運用時に使用されるモードです。 |
| Permissive (許可モード) | – SELinuxが有効になっていますが、ポリシーに違反する操作があっても実際にはブロックされません。 – 違反があった場合はログに記録されるだけで、操作は実行されます。 – ポリシーのデバッグや新しいポリシーのテスト時に使用されます。 |
| Disabled (無効モード) | – SELinuxが完全に無効になっています。 – ポリシーは適用されず、SELinuxの機能も使用されません。 – セキュリティ強化が不要な場合や、SELinuxが原因でシステムのトラブルシューティングを行う場合に一時的に使用されることがあります。 |
SELinuxのステータス確認
SELinuxの現在のステータスを確認するには、以下のコマンドを使用します。
現在は有効な状態になっています。
より詳細な状態を確認するには「sestatus」コマンドを使用します。
SELinuxのステータス変更
一時的に無効にする
- SELinuxを一時的(システム再起動まで)に無効にする。
- 状態を確認します。
「Permissive」になっていることを確認します。
永続的に無効にする
永続的に無効にするには「/etc/selinux/config」のSELINUXの行を「permissive」または「disabled」に変更します。
- 設定ファイルを開きます
- SELINUX=enforcing の部分を SELINUX=disabled に変更します。
変更前
変更後
- OSを再起動します。
- SELinuxのステータスを確認します。以下のように「Disabled」となっていればOKです。
コメント