SELinuxの設定
SELinuxのモードについて#
Selinuxはファイルシステム単位でパーミッションの管理定義を行ないより厳密にセキュリティを高める事ができる
Sekinuxには3つのモードがある
- Enforcing モード
SELinux ポリシーが強制され、SELinux ポリシールールに基づいてアクセスが拒否されます。
Red Hat Enterprise Linux では、SELinux がシステムにインストールされると、enforcing モードがデフォルトで有効になります。 - Permissive モード
SELinux ポリシーは強制されません。システムは操作可能なままで、SELinux が拒否する操作はありませんが、AVC メッセージのみがログ記録されます。
各 AVC がログ記録されるのは 1 回のみです。 - SELinux の無効化
SELinux ポリシーはまったく読み込まれないので強制されることもなく、AVC メッセージもログ記録されません。
caution
Red Hat では、SELinux を永続的に無効にするのではなく、permissive モードで使用することを強く推奨しています。
SelLnuxの無効化#
完全に無効化する
設定の変更
変更を反映させるために再起動
再移動後設定値を確認して Disabled になっている事を確認する
SeLinuxのPermissiveモード化#
最低限ログを記録するようにし、システムへの怪しいアクセスが合った場合最低限追えるように
SElinuxは有効のまま非強制モードにしてログだけ記録されるようにする
設定を反映させるために再起動
再移動後設定値を確認して Permissive になっている事を確認する
SeLinuxのポリシーによりパーミッションが拒否された場合、ログは Audit ログに記録されます
後述する Audit と合わせて設定を行っておく必要がある
Audit ログのAVCログを確認する場合