ホーム
製品
Red Hat Enterprise Linux
8
SELinux の使用
2.3. SELinux の Enforcing モードへの変更

2.3. SELinux の Enforcing モードへの変更

SELinux を Enforcing モードで実行している場合は、SELinux ポリシーが強制され、SELinux ポリシールールに基づいてアクセスが拒否されます。RHEL では、システムに SELinux を最初にインストールした時に、Enforcing モードがデフォルトで有効になります。

前提条件

selinux-policy-targeted、libselinux-utils、および policycoreutils パッケージがシステムにインストールされている。
selinux=0 または enforcing=0 カーネルパラメーターは使用されません。

手順

任意のテキストエディターで /etc/selinux/config ファイルを開きます。以下に例を示します。
```
# vi /etc/selinux/config
```

SELINUX=enforcing オプションを設定します。

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#       targeted - Targeted processes are protected,
#       mls - Multi Level Security protection.
SELINUXTYPE=targeted

変更を保存して、システムを再起動します。
```
# reboot
```
次にシステムを起動する際に、SELinux はシステム内のファイルおよびディレクトリーのラベルを再設定し、SELinux が無効になっている間に作成したファイルおよびディレクトリーに SELinux コンテキストを追加します。

検証

システムの再起動後に、getenforce コマンドが Enforcing を返すことを確認します。
```
$ getenforce
Enforcing
```

トラブルシューティング

Enforcing モードに変更したあと、SELinux ポリシールールが間違っていたか、設定されていなかったため、SELinux が一部のアクションを拒否する場合があります。

SELinux に拒否されるアクションを表示するには、root で以下のコマンドを実行します。
```
# ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts today
```
または、setroubleshoot-server パッケージがインストールされている場合は、次のように入力します。
```
# grep "SELinux is preventing" /var/log/messages
```
SELinux が有効で、Audit デーモン (auditd) がシステムで実行していない場合は、dmesg コマンドの出力で SELinux メッセージを検索します。
```
# dmesg | grep -i -e type=1300 -e type=1400
```

詳細は Troubleshooting problems related to SELinux を参照してください。

2.3. SELinux の Enforcing モードへの変更

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links