2010年12月9日木曜日

SELinux無効化

■OSインストール後にSELinuxを無効にする
/etc/selinux/configをvi等で編集し SELINUX=disabled とした後rebootする。

[root@tanyao ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted
[root@tanyao ~]# 

[root@tanyao ~]# reboot

※ SELINUX=permissive の状態でidコマンドを実行すると下記のように表示される。
[root@tanyao ~]# id
uid=0(root) gid=0(root) 所属グループ=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t:SystemLow-SystemHigh


■SELinuxの動作モード確認と切り替え方法
----------------------------------------------------
Enforcing:許可されていないアクセスを拒否する
Permissive:許可されていないアクセスがあった場合でもログを出力するだけで実際にはアクセス制御を行わない
Disabled:SELinux無効
----------------------------------------------------
[root@tanyao ~]# setenforce 0
[root@tanyao ~]# getenforce
Permissive
[root@tanyao ~]# setenforce 1
[root@tanyao ~]# getenforce
Enforcing

※ /etc/selinux/config で SELINUX=permissive または SELINUX=enforcing となっている場合。
※ 上記コマンドは一時的な設定でありrebootすると/etc/selinux/configの設定に戻る。

⇒ /etc/selinux/config が SELINUX=disabled に設定されている場合で上記コマンドを実行すると下記のようになる。
[root@tanyao ~]# getenforce
Disabled
[root@tanyao ~]# setenforce 0
setenforce: SELinux is disabled
[root@tanyao ~]# setenforce 1
setenforce: SELinux is disabled