2.6. SELinux カーネルの起動パラメーター

このパラメーターを設定すると、システムを起動する際に、Permissive モードで起動します。これは、問題のトラブルシューティングを行うときに便利です。ファイルシステムが破損している場合は、Permissive モードを使用することが、問題を検出するための唯一の選択肢となるかもしれません。さらに、permissive モードでは、システムはラベルを正しく作成します。このモードで生成される AVC メッセージは、enforcing モードで生成されるメッセージとは異なる場合があります。

permissive モードでは、システムは一連の同じ拒否が続く場合、最初の拒否のみを報告します。一方、Enforcing モードでは、ディレクトリーの読み込みに関する拒否が発生し、アプリケーションが停止する場合があります。permissive モードでは、同じ AVC メッセージが表示されますが、アプリケーションはディレクトリー内のファイルの読み取りを継続し、拒否されるたびに AVC メッセージが表示されます。

このパラメーターにより、カーネルは、SELinux インフラストラクチャーのどの部分も読み込まないようになります。init スクリプトは、システムが selinux=0 パラメーターで起動したことを検出し、/.autorelabel ファイルを作成します。これにより、次回 SELinux を有効にしてシステムを起動する際にシステムのラベルが自動的に再設定されます。

このパラメーターにより、システムは以下のコマンドと同様に再ラベル付けを強制されます。

# touch /.autorelabel
# reboot

ファイルシステムに間違ったラベルが付いたオブジェクトが大量に含まれる場合は、システムを Permissive モードで起動して自動再ラベルプロセスを正常に実行します。