セキュリティ強化Linux (SELinux) は、アクセス制御のためのセキュリティポリシーベースの保護メカニズムを提供するLinuxカーネル機能です。 一般に、SELinuxを有効にしてプロセスの権限を制限し、悪意のあるプログラムからの脅威から保護することをお勧めします。 ただし、SELinuxの厳格なアクセス制御メカニズムにより、信頼できるアプリケーションやサービスが正常に起動できない場合があります。 開発シナリオまたはデバッグシナリオでは、SELinuxを一時的に無効にすることができます。
SELinuxの詳細については、SELinuxとは何ですか?
SELinuxの有効化
この例では、CentOS 7.6を64ビットで実行するElastic Compute Service (ECS) インスタンスに対してSELinuxが有効になっています。
ECSインスタンスに接続します。
接続方法の詳細については、「接続方法の概要」をご参照ください。
次のコマンドを実行して、SELinuxのステータスを確認します。
setatusSELinuxステータスでdisabledが返された場合、インスタンスのSELinuxは無効です。
インスタンスで次のコマンドを実行して、SELinuxの
configファイルを開きます。sudo vi /etc/selinux/configSELinux=disabledを含む行を見つけ、キーボードのiを押して挿入モードに入ります。
次のいずれかの設定を使用して、SELinuxを有効にできます。
SELINUX=enforcing: SELinuxのセキュリティポリシーに対するすべてのリクエストは拒否されます。SELINUX=permissive: セキュリティポリシーに対するリクエストは拒否されませんが、ログに記録されます。
Escキーを押して:wqコマンドを実行し、ファイルを保存して終了します。重要configファイルを変更した後、変更を有効にするためにインスタンスを再起動する必要があります。 ただし、インスタンスをすぐに再起動すると、システムの起動に失敗する可能性があります。 したがって、作成する必要があります。. autorelabel問題を防ぐために、再起動前にファイルを設定します。次のコマンドを実行して、
. autorelabelファイルを作成します。sudo touch /.autorelabel次のコマンドを実行して、インスタンスを再起動します。
説明インスタンスが再起動されると、SELinuxはすべてのシステムファイルを自動的に再ラベル付けします。
sudo shutdown -r now
SELinuxの無効化
SELinuxを無効にすると、システムが攻撃に対して脆弱になります。 したがって、潜在的なリスクを慎重に評価し、システムを保護する他の効果的なセキュリティ対策があることを確認することをお勧めします。
ECSインスタンスに接続します。
接続方法の詳細については、「接続方法の概要」をご参照ください。
次のコマンドを実行して、SELinuxのステータスを確認します。
setatusSELinuxステータスに対してenabledが返された場合、インスタンスに対してSELinuxが有効になっています。
SELinuxを一時的または永久に無効にします。
SELinuxを一時的に無効にする
次のコマンドを実行して、SELinuxを一時的に無効にします。
setenforce 0SELinuxを完全に無効にする
次のコマンドを実行して、SELinuxの
configファイルを開きます。sudo vi /etc/selinux/configSELinux=enforcingまたはSELINUX=permissive設定を見つけ、キーボードのiを押して挿入モードに入り、設定をSELINUX=disabledに変更します。
Escキーを押して:wqコマンドを実行し、ファイルを保存して終了します。次のコマンドを実行して、インスタンスを再起動します。
sudo shutdown -r now次のコマンドを実行して、SELinuxのステータスを確認します。
setatusSELinuxステータスに対してdisabledが返された場合、SELinuxは完全に無効になっています。
参考資料
SELinuxが有効になっているECSインスタンスからカスタムイメージを作成できます。 次に、このカスタムイメージからSELinuxを有効にしたインスタンスをさらに作成できます。