20.3. SELinux
/etc/selinux/config
による SELinux の無効化に対応しなくなる
RHEL 9.0 リリースで、/etc/selinux/config
ファイルの SELINUX=disabled
オプションを使用した SELinux の無効化に対応する機能がカーネルから削除されました。/etc/selinux/config
を介してのみ SELinux を無効にすると、システムは SELinux が有効な状態で起動しますが、ポリシーは読み込まれず、SELinux セキュリティーフックはカーネルに登録されたままになります。これは、/etc/selinux/config
を使用して SELinux を無効にしても、引き続き一部のシステムリソースが必要であることを意味します。そのため、パフォーマンスが重視されるすべてのシナリオでは、代わりにカーネルコマンドラインを使用して SELinux を無効にする必要があります。
さらに、Anaconda インストールプログラムおよび対応する man ページが更新され、この変更が反映されました。この変更により、LSM (Linux Security Module) フックの初期化後の読み取り専用保護も有効になります。
SELinux を無効にする必要がある場合は、selinux=0
パラメーターをカーネルコマンドラインに追加します。
詳細はRemove support for SELinux run-time disable を参照してください。
SELinux ポリシーに制限されている追加サービス
RHEL 9.3 リリースでは、次の systemd
サービスを制限する追加のルールが SELinux ポリシーに追加されました。
-
qat
-
systemd-pstore
-
boothd
-
fdo-manufacturing-server
-
fdo-rendezvous-server
-
fdo-client-linuxapp
-
fdo-owner-onboarding-server
その結果、これらのサービスは unconfined_service_t
SELinux ラベルでは実行されなくなり、SELinux enforcing モードで正常に実行されます。
glusterd
SELinux モジュールは別の glusterfs-selinux
パッケージへ移動
この更新により、glusterd
SELinux モジュールは別の glusterfs-selinux
パッケージで管理されるようになりました。したがって、このモジュールは selinux-policy
パッケージの一部ではなくなりました。glusterd
モジュールに関係するアクションについては、glusterfs-selinux
パッケージをインストールして使用します。