読者です 読者をやめる 読者になる 読者になる

SELinux の設定と確認方法について

SELinux

SELinux とは、Security-Enhanced Linux の略です。

 

SELinux の設定ファイルは以下の通り。 

 

# less /etc/selinux/config


# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing 
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted 

※設定を反映するにはシステムの再起動が必要です。

 

コメントアウトしてある部分に書いてあるんですが、念のため↓

SELINUX で設定できるのは下記の 3つ。

enforcing:selinux のポリシーに反する動作を全て拒否

permissive:selinux のポリシーに反する動作には warning ログをだす

disabled:selinux を無効にする

 

SELINUXTYPE (ポリシーの設定)で設定できるのは下記の 2つ。

targeted:ネットワークデーモンのみが制御の対象になる

strict:全てのデーモンが制御の対象になる

 

設定の反映の確認は、sestatus コマンド。

 # sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted

# sestatus

SELinux status: disabled

getenforce でも確認できます。

# getenforce

Enforcing 

setenforce でも設定は出来ますが、設定できるのは enforcing または permissive で、disabled は先に紹介した方法で設定します。

ここで設定した場合はシステムの再起動をしなくても設定が反映されます。

# setenforce

usage:   setenforce [ Enfoecing |  Permissive  |  1  |  0  ]

# setenforce 0

# getenforce

Permissive

 現在の SELinux の状態が disabled の場合は下記のエラーが出て設定できないので、先に紹介した方法で設定してください。

# setenforce 0

setenforce:   SELinux is disabled

# setenforce 1

setenforce:   SELinux is disabled