ホーム
製品
Red Hat Enterprise Linux
10
Using SELinux
2.4. 以前は無効にしていたシステムで SELinux を有効にする

2.4. 以前は無効にしていたシステムで SELinux を有効にする

セキュリティー保護を復元し、強制的なアクセス制御を適用するために、以前 SELinux が無効になっていたシステムで SELinux を有効にします。まず、システムを permissive モードで起動し、ファイルシステムにラベルを再設定する必要があります。そうすることで、セキュリティーラベルの欠落や誤りによって発生する起動エラーを防ぐことができます。

SELinux が disabled の状態で作成されたファイルシステムオブジェクトには、セキュリティーラベルは付与されません。システムはアクセス決定を行うために正しいコンテキストに依存しているため、ラベルがない状態で直接 enforcing モードに変更するとエラーが発生します。

警告

再ラベル付けのためにシステムを再起動する前に、enforcing=0 カーネルオプションを使用するなどして、システムが Permissive モードで起動することを確認します。これにより、selinux-autorelabel サービスを起動する前に、systemd が必要とするラベルのないファイルがシステムにある場合に、システムが起動に失敗することを防ぎます。詳細は、RHBZ#2021835 を参照してください。

手順

SELinux を Permissive モードで有効にします。詳細は、SELinux を permissive モードに変更するを参照してください。
システムを再起動します。
```
# reboot
```
SELinux 拒否メッセージを確認します。詳細は、SELinux 拒否の特定を参照してください。
次の再起動時に、ファイルが再ラベル付けされていることを確認します。
```
# fixfiles -F onboot
```
これにより、-F オプションの効果により、/.autorelabel ファイルが作成されます。
警告
fixfiles -F onboot コマンドを入力する前に、必ず Permissive モードに切り替えてください。
デフォルトでは、autorelabel はシステムで使用可能な CPU コアと同じ数のスレッドを並列に使用します。ラベルの自動再設定中に単一のスレッドのみを使用するには、fixfiles -T 1 onboot コマンドを使用します。
拒否がない場合は、Enforcing モードに切り替えます。詳細はシステム起動時の SELinux モードの変更を参照してください。

検証

システムの再起動後に、getenforce コマンドが Enforcing を返すことを確認します。
```
$ getenforce
Enforcing
```

次のステップ

Enforcing モードで SELinux を使用してカスタムアプリケーションを実行するには、次のいずれかのシナリオを選択してください。

unconfined_service_t ドメインでアプリケーションを実行します。
アプリケーションに新しいポリシーを記述します。詳細は、カスタム SELinux ポリシーの作成のセクションを参照してください。

2.4. 以前は無効にしていたシステムで SELinux を有効にする

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links