SELinuxを無効にする
2018/05/30
RHEL/CentOS 7.x
SELinuxとは
SELinuxは不正侵入後の被害拡大防止機能の仕組みで、以下のような機能が備わっています。
- 強制アクセス制御(MAC): アクセス制御を集中管理
- TE(Type Enforcement): プロセス権限の最小化
- ドメイン遷移: 子プロセスに余計な権限を与えずに実行
- RBAC(Role Base Access Control): ユーザの権限を最小化
しかしながら、基本的にすべてのアクセスを拒否するため、予期せぬ制約がかかることが多いことから、サーバー構築時には無効化する場合が多いです。
SELinuxの状態を確認する
# getenforce (出力結果) Enforcing
出力された結果の意味は以下の通りになります。
- Enforcing: SELinuxが有効になっている
- Disable: SELinuxが無効になっている
- Permissive: ログ出力は行なわれるが、SELinuxによる制御は行われない
SELinuxを永続的に無効にする
以下のファイルを編集します。
# vi /etc/selinux/config
/etc/selinux/config
# This file controls the state of SELinux on the system.
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled # enforcing から disabledに変更
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
サーバー再起動後に反映されます。
# reboot