2.1.1 SELinuxの有効化

host_access_controlユーティリティを使用して、ExadataでSELinuxを有効にできます。

  1. SELinuxモードを設定します。

    SELinuxは、許可モードまたは強制モードで動作するように構成できます。

    • 許可モードでは、SELinuxはシステムをアクティブに監視し、監査ログにポリシー違反を記録します。ただし、許可モードではブロックされるアクションはありません。

      許可モードを指定するには、次のコマンドを使用します。

      # /opt/oracle.cellos/host_access_control selinux --permissive

      事前定義済のExadataセキュリティ・ポリシーがサイトのすべてのアプリケーションおよびプロシージャと組み合せて動作するように、最初は許可モードをしばらく有効にすることをお薦めします。

    • 強制モードが有効になっている場合、SELinuxはポリシー違反をアクティブにブロックし、監査ログに操作を記録します。

      強制モードを指定するには、次のコマンドを使用します。

      # /opt/oracle.cellos/host_access_control selinux --enforcing
  2. ラベル変更を実行するようにシステムに指示します。

    SELinuxでは、各ファイルは、その使用を制御するコンテキストまたはセキュリティ・ラベルに関連付けられます。SELinuxが最初に有効になったら、システムのラベルを変更して、ファイルが適切なセキュリティ・コンテキストに関連付けられていることを確認する必要があります。

    次のコマンドは、システムに対してラベル変更を実行するように指示します。

    # /opt/oracle.cellos/host_access_control selinux --relabel

    このコマンドは、/.autorelabelにあるファイルにアクセスして、ラベル変更を実行するようシステムに指示します。ただし、ラベル変更プロセスは、次回のシステム再起動の一部として実行されます。

  3. システムを再起動します。

    ラベル変更を実行してSELinuxを有効にするには、システムの再起動が必要です。