SELinuxモードの設定

SELinuxは3つのモードのうちの1つで実行されます。

Disabled

カーネルは、アクセス制御にDACルールのみを使用します。カーネルにポリシーがロードされていないため、SELinuxはセキュリティ・ポリシーを強制しません。

Enforcing

SELinuxセキュリティ・ポリシー・ルールによって権限が付与されていない場合、カーネルはユーザーおよびプログラムへのアクセスを拒否します。拒否メッセージはすべて、AVC (アクセス・ベクター・キャッシュ)拒否として記録されます。これは、SELinuxセキュリティ・ポリシーを強制するデフォルト・モードです。

Permissive

カーネルはセキュリティ・ポリシー・ルールを強制しませんが、SELinuxは拒否メッセージをログ・ファイルに送信します。このようにして、SELinuxが強制モードで実行されていた場合にどのアクションが拒否されていたかを確認できます。このモードは、SELinuxの動作を診断するために使用されます。

現在のSELinuxモードを表示するには:

getenforce

現在のモードをEnforcingに設定するには:

sudo setenforce enforcing

現在のモードをPermissiveに設定するには:

sudo setenforce permissive

setenforceを使用してモードに設定した現在の値は、リブート後は維持されません。デフォルトのSELinuxモードを構成するには、SELinuxの構成ファイル/etc/selinux/configを編集して、SELINUXディレクティブの値をdisabled、enforcingまたはpermissiveに設定します。