SELinuxポリシー・モードの変更

Cockpit管理者は、Webコンソールの「SELinux」ページを使用して、ポリシー・モードを変更することで起動時のSELinuxの実行方法を変更することを選択できます。デフォルトでは、SELinuxポリシー・モードが強制に設定されています。

前提条件

• Cockpit Webコンソールがインストールされていて、アクセスできる必要があります。

  詳細は、トピック「Cockpitのインストールおよび有効化」と「Cockpit Webコンソールへのログイン」を参照してください。

• 管理者権限。

ステップ

Cockpit Webコンソールを使用して、次のステップに従ってローカル・ホストのSELinuxポリシー・モードを変更します。

1. Cockpitのナビゲーション・ペインで、「SELinux」をクリックします。
   「SELinux」ページが表示されます。
2. 「SELinux」ページで、SELinuxポリシー・モード・トグル・ボタンをクリックして、モードを切り替えます(強制(デフォルト) |許可)。

   警告:

   Cockpitを使用すると、SELinuxポリシー・モードを強制モードと許可モードに切り替えることができます。強制モードがデフォルトであり、推奨モードです。許可モードでは、SELinuxセキュリティ・ポリシーに基づく操作は拒否されません。許可モードは、SELinuxポリシーの開発またはデバッグに役立ちます)。

   誤ったラベル付けがされているファイルやラベル付けされていないファイルによって問題が発生するのを防ぐために、SELinuxは、無効な状態から許可モードまたは強制モードに変更するときに、ファイル・システムのラベルを自動的に再設定します。sudo fixfiles -F onbootコマンドを使用して、-Fオプションを含む/.autorelabelファイルを作成し、次回の再起動時にファイルのラベルが付け直されるようにします。

   ラベル変更のためにシステムを再起動する前に、たとえばenforcing=0カーネル・オプションを使用して、システムが許可モードで起動することを確認します。この設定は、selinux-autorelabelサービスを起動する前に、systemdによって必要とされるラベル付けされていないファイルがシステムに含まれている場合に、システムの起動に失敗しないようにします。