20.3. SELinux
/etc/selinux/config による SELinux の無効化に対応しなくなる
RHEL 9.0 リリースで、/etc/selinux/config ファイルの SELINUX=disabled オプションを使用した SELinux の無効化に対応する機能がカーネルから削除されました。/etc/selinux/config を介してのみ SELinux を無効にすると、システムは SELinux が有効な状態で起動しますが、ポリシーは読み込まれず、SELinux セキュリティーフックはカーネルに登録されたままになります。これは、/etc/selinux/config を使用して SELinux を無効にしても、引き続き一部のシステムリソースが必要であることを意味します。そのため、パフォーマンスが重視されるすべてのシナリオでは、代わりにカーネルコマンドラインを使用して SELinux を無効にする必要があります。
さらに、Anaconda インストールプログラムおよび対応する man ページが更新され、この変更が反映されました。この変更により、LSM (Linux Security Module) フックの初期化後の読み取り専用保護も有効になります。
SELinux を無効にする必要がある場合は、selinux=0 パラメーターをカーネルコマンドラインに追加します。
詳細はRemove support for SELinux run-time disable を参照してください。
SELinux ポリシーに制限されている追加サービス
RHEL 9.3 リリースでは、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されました。
-
qat -
systemd-pstore -
boothd -
fdo-manufacturing-server -
fdo-rendezvous-server -
fdo-client-linuxapp -
fdo-owner-onboarding-server
その結果、これらのサービスは unconfined_service_t SELinux ラベルでは実行されなくなり、SELinux enforcing モードで正常に実行されます。
glusterd SELinux モジュールは別の glusterfs-selinux パッケージへ移動
この更新により、glusterd SELinux モジュールは別の glusterfs-selinux パッケージで管理されるようになりました。したがって、このモジュールは selinux-policy パッケージの一部ではなくなりました。glusterd モジュールに関係するアクションについては、glusterfs-selinux パッケージをインストールして使用します。
