SELinuxモードの設定
SELinuxは3つのモードのうちの1つで実行されます。
-
Disabled
-
カーネルは、アクセス制御にDACルールのみを使用します。カーネルにポリシーがロードされていないため、SELinuxはセキュリティ・ポリシーを強制しません。
-
Enforcing
-
SELinuxセキュリティ・ポリシー・ルールによって権限が付与されていない場合、カーネルはユーザーおよびプログラムへのアクセスを拒否します。拒否メッセージはすべて、AVC (アクセス・ベクター・キャッシュ)拒否として記録されます。これは、SELinuxセキュリティ・ポリシーを強制するデフォルト・モードです。
-
Permissive
-
カーネルはセキュリティ・ポリシー・ルールを強制しませんが、SELinuxは拒否メッセージをログ・ファイルに送信します。このようにして、SELinuxが強制モードで実行されていた場合にどのアクションが拒否されていたかを確認できます。このモードは、SELinuxの動作を診断するために使用されます。
現在のSELinuxモードを表示するには:
getenforce
現在のモードを
Enforcing
に設定するには:
sudo setenforce enforcing
現在のモードを
Permissive
に設定するには:
sudo setenforce permissive
setenforceを使用してモードに設定した現在の値は、リブート後は維持されません。デフォルトのSELinuxモードを構成するには、SELinuxの構成ファイル/etc/selinux/config
を編集して、SELINUX
ディレクティブの値をdisabled
、enforcing
またはpermissive
に設定します。