RHEL9 での SELINUX の無効化方法について

★★★ イベント情報 ★★★
◇【参加登録受付中】Kong Summit, Japan 2022◇
今年は12月15日に開催決定!最新情報とデモとともにKongと事例/ユースケースのご紹介などAPIエコノミーやマイクロサービスに関心のある開発者の方にとっては必見です。ぜひお申し込みください!イベントの詳細・お申込はこちら

★★★ Live配信告知 ★★★
◇11月29日開催 19:00~ 世界一わかりみの深いクラウドネイティブon Azure◇
テーマは「Web App for ContainersとKeycloakで最速OpenID Connect」です!

◇11月30日開催 17:00〜 知ってると ちょっと便利なコマンド集◇
知っていると少し効率の上がるようなコマンドをいくつかご紹介します!

こんにちは。サイオステクノロジーの橋本です。

前回 RHEL9 OS をインストールしたのでいろいろ試してみましょう。

RHEL 9 から SELinux の無効化方法が変更となりました。
※そもそも無効化自体安易にするべきではありませんが

具体的に無効化方法がどのように変わったのか見てみましょう。

RHEL 8 での無効化方法

SELINUX を disabled とすることで無効化することが可能です。

ファイル : /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

RHEL 9 での無効化方法

実機を確認してみて驚いたのですが、設定ファイルは RHEL 9 でもあり。
RHEL 8 同様に設定項目「SELINUX」が存在します。

ファイル : /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
# See also:
# https://docs.fedoraproject.org/en-US/quick-docs/getting-started-with-selinux/#getting-started-with-selinux-selinux-states-and-modes
#
# NOTE: In earlier Fedora kernel builds, SELINUX=disabled would also
# fully disable SELinux during boot. If you need a system with SELinux
# fully disabled instead of SELinux running with no policy loaded, you
# need to pass selinux=0 to the kernel command line. You can use grubby
# to persistently set the bootloader to boot with selinux=0:
#
# grubby --update-kernel ALL --args selinux=0
#
# To revert back to SELinux enabled:
#
# grubby --update-kernel ALL --remove-args selinux
#
SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

何も考えずに構築をするとうっかり「SELINUX=disabled」と設定しそうです。

英語で注意書きがしっかり書かれています。
SELINUX の無効化はコメントで書かれているように grubby コマンドで行います。

# grubby --update-kernel ALL --args selinux=0
#
# shutdown -r now

・再起動後

# getenforce
Disabled
#

うっかり /etc/selinux/config を書き換えると OS が起動しなくなる可能性があります。
あくまで可能性であり OS が起動しなくなる可能性は 10~20% 程度なので、
思い出したときになぜか OS が起動しないという事象が発生しえます…

そもそも SELinux の無効化自体が推奨されていませんが、
無効化するときは気を付けてください。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

Be the first to comment

Leave a Reply

Your email address will not be published.


*


質問はこちら 閉じる