![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-04-19T02:46:08+09:00","","") #author("2023-04-19T02:51:40+09:00","","") #navi(../) #Contents ------------------------ * SELINUX [#d20833fa] **MENU [#g1cde86c] #contents **SELinuxとは [#k4242914] ~ SELinuxは、プロセスに「ドメイン」、リソース(ファイルやディレクトリ等)に「タイプ」というラベルを付与し、~ ドメインとタイプ間のパーミッションチェックを行うことにより、システムのセキュリティを高める仕組みです~ > SELinuxは、プロセスに「ドメイン」、リソース(ファイルやディレクトリ等)に「タイプ」というラベルを付与し、ドメインとタイプ間のパーミッションチェックを行うことにより、システムのセキュリティを高める仕組みです ***SELinuxの動作モード [#g4e4b2b2] > SELinuxの動作モードには以下があります SELinuxの動作モードには以下があります~ |200|400|c |項目|説明|h |Enforcing|SELinuxを有効にする - パーミッションのチェックを行い、アクセスを拒否する| |Permissive|SELinuxパーミッションのチェックはするが実際にアクセスの拒否はしない| |disabled|SELinuxを無効にするPermissiveモードはとても便利なモードです| > 最終的にはSELinuxを有効にしてサーバを運用したいが、SELinuxが原因でFTPサーバ等がなかなかうまく動作してくれない等といった場合にこのモードにしておくと良いです 最終的にはSELinuxを有効にしてサーバを運用したいが、SELinuxが原因でFTPサーバ等がなかなかうまく~ 動作してくれない場合にこのモードにしておくと良いです~ ~ > Permissiveモードは、SYSLOGにSELinuxのパーミッションエラーをプリントするがアクセス拒否はしない為、サーバがすべて組み上がった後に、エラー内容からSELinuxのル ールを生成するなどして、SELinux周りの問題を解決することもできます Permissiveモードは、SYSLOGにSELinuxのパーミッションエラーをプリントするがアクセス拒否はしない為、~ サーバがすべて組み上がった後に、エラー内容からSELinuxのルールを生成するなどして、SELinux周りの問題を解決することもできます~ ***SELinuxの現在の動作モードを確認するには [#i1907341] > SELinuxの現在の動作モードを確認するには getenforce コマンドを使います SELinuxの現在の動作モードを確認するには getenforce コマンドを使います~ # getenforce Enforcing > 上の例では Enforcing とでていますので、SELinuxは有効な状態の様です 上の例では Enforcing とでていますので、SELinuxは有効な状態の様です~ ***SELinuxの動作モードを一時的に変更してみる [#mc217c01] > SELinuxの動作モードを一時的に変更するにはsenenforceコマンドを使います SELinuxの動作モードを一時的に変更するにはsenenforceコマンドを使います~ ~ 動作モードには以下の二種類があります~ > 動作モードには以下の二種類があります -Permissiveモード Permissiveモードとは、「SELinuxは有効だが、警告だけでアクセス拒否はしない」モードです~ > -Permissiveモード > Permissiveモードとは、「SELinuxは有効だが、警告だけでアクセス拒否はしない」モードです 他ソフトウェアの設定作業の中にSELinuxが原因で動作していないか~ 問題の切り分けをする時に使用すればよいかと思います~ > 他ソフトウェアの設定作業の中で、SELinuxが原因でうまく動作していないのかどうかの問題を切り分ける時に使用すればよいかと思います # setenforce 0 > -Enforcingモード > SELinuxを有効にし、実際のアクセス拒否も行う場合はEnforcingモードにします -Enforcingモード SELinuxを有効にし、実際のアクセス拒否も行う場合はEnforcingモードにします~ # setenforce 1 ***SELinuxの動作モードの設定を再起動後も有効にするには [#j8a33b0e] > setenforceコマンドはSELinuxの動作モードを変更しますが、マシンを再起動すると元に戻ってしまいます setenforceコマンドはSELinuxの動作モードを変更しますが、マシンを再起動すると元に戻ってしまいます~ ~ マシンを再起動してもSELinuxの動作モードが維持される様にするには設定ファイルを編集する必要があります~ ~ 設定ファイルは、/etc/sysconfig/selinuxです~ ~ 同ファイルの「SELINUX=」に値を設定します~ > マシンを再起動してもSELinuxの動作モードが維持される様にするには設定ファイルを編集する必要があります > 設定ファイルは、/etc/sysconfig/selinuxです > 同ファイルの「SELINUX=」に値を設定します SELINUX=disabled : 無効にする SELINUX=Enforcing : SELinuxパーミッションのチェックを行い、アクセスを拒否する SELINUX=Permissive : SELinuxパーミッションのチェックはするが実際にアクセスの拒否はしない > 設定後、マシンを再起動すれば完了です 設定後、マシンを再起動すれば完了です~ ***SELinuxを無効にした場合の注意点 [#e708c772] > SELinuxを無効にした後、再び有効にする場合はラベルの再構築が必要です SELinuxを無効にした後、再び有効にする場合はラベルの再構築が必要です~ ~ また、再起動する前にラベルの再構築を行わないと、最悪システムが起動しなくなりますので注意して下さい~ > また、再起動する前にラベルの再構築を行わないと、最悪システムが起動しなくなりますので注意して下さい
