セキュリティ強化Linux (SELinux) は、アクセス制御のためのセキュリティポリシーベースの保護メカニズムを提供するLinuxカーネル機能です。 一般に、SELinuxを有効にしてプロセスの権限を制限し、悪意のあるプログラムからの脅威から保護することをお勧めします。 ただし、SELinuxの厳格なアクセス制御メカニズムにより、信頼できるアプリケーションやサービスが正常に起動できない場合があります。 開発シナリオまたはデバッグシナリオでは、SELinuxを一時的に無効にすることができます。
SELinuxの詳細については、SELinuxとは何ですか?
SELinuxの有効化
この例では、CentOS 7.6を64ビットで実行するElastic Compute Service (ECS) インスタンスに対してSELinuxが有効になっています。
ECSインスタンスに接続します。
接続方法の詳細については、「接続方法の概要」をご参照ください。
次のコマンドを実行して、SELinuxのステータスを確認します。
setatus
SELinuxステータス
でdisabled
が返された場合、インスタンスのSELinuxは無効です。インスタンスで次のコマンドを実行して、SELinuxの
config
ファイルを開きます。sudo vi /etc/selinux/config
SELinux=disabled
を含む行を見つけ、キーボードのi
を押して挿入モードに入ります。次のいずれかの設定を使用して、SELinuxを有効にできます。
SELINUX=enforcing
: SELinuxのセキュリティポリシーに対するすべてのリクエストは拒否されます。SELINUX=permissive
: セキュリティポリシーに対するリクエストは拒否されませんが、ログに記録されます。
Esc
キーを押して:wq
コマンドを実行し、ファイルを保存して終了します。重要config
ファイルを変更した後、変更を有効にするためにインスタンスを再起動する必要があります。 ただし、インスタンスをすぐに再起動すると、システムの起動に失敗する可能性があります。 したがって、作成する必要があります。. autorelabel
問題を防ぐために、再起動前にファイルを設定します。次のコマンドを実行して、
. autorelabel
ファイルを作成します。sudo touch /.autorelabel
次のコマンドを実行して、インスタンスを再起動します。
説明インスタンスが再起動されると、SELinuxはすべてのシステムファイルを自動的に再ラベル付けします。
sudo shutdown -r now
SELinuxの無効化
SELinuxを無効にすると、システムが攻撃に対して脆弱になります。 したがって、潜在的なリスクを慎重に評価し、システムを保護する他の効果的なセキュリティ対策があることを確認することをお勧めします。
ECSインスタンスに接続します。
接続方法の詳細については、「接続方法の概要」をご参照ください。
次のコマンドを実行して、SELinuxのステータスを確認します。
setatus
SELinuxステータス
に対してenabled
が返された場合、インスタンスに対してSELinuxが有効になっています。SELinuxを一時的または永久に無効にします。
SELinuxを一時的に無効にする
次のコマンドを実行して、SELinuxを一時的に無効にします。
setenforce 0
SELinuxを完全に無効にする
次のコマンドを実行して、SELinuxの
config
ファイルを開きます。sudo vi /etc/selinux/config
SELinux=enforcing
またはSELINUX=permissive
設定を見つけ、キーボードのi
を押して挿入モードに入り、設定をSELINUX=disabled
に変更します。Esc
キーを押して:wq
コマンドを実行し、ファイルを保存して終了します。次のコマンドを実行して、インスタンスを再起動します。
sudo shutdown -r now
次のコマンドを実行して、SELinuxのステータスを確認します。
setatus
SELinuxステータス
に対してdisabled
が返された場合、SELinuxは完全に無効になっています。
参考資料
SELinuxが有効になっているECSインスタンスからカスタムイメージを作成できます。 次に、このカスタムイメージからSELinuxを有効にしたインスタンスをさらに作成できます。