2.3. SELinux를 강제 모드로 변경
SELinux가 강제 모드에서 실행 중인 경우 SELinux 정책을 적용하고 SELinux 정책 규칙에 따라 액세스를 거부합니다. RHEL에서는 SELinux를 사용하여 처음 시스템을 설치할 때 강제 모드가 기본적으로 활성화됩니다.
사전 요구 사항
-
selinux-policy-targeted,libselinux-utils및policycoreutils패키지가 시스템에 설치됩니다. -
selinux=0또는enforcing=0커널 매개 변수는 사용되지 않습니다.
절차
선택한 텍스트 편집기에서
/etc/selinux/config파일을 엽니다. 예를 들면 다음과 같습니다.# vi /etc/selinux/configSELINUX=enforcing옵션을 구성합니다.# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted변경 사항을 저장하고 시스템을 다시 시작하십시오.
# reboot다음 부팅 시 SELinux는 시스템 내의 모든 파일과 디렉터리의 레이블을 다시 지정하고 SELinux가 비활성화될 때 생성된 파일과 디렉토리에 대해 SELinux 컨텍스트를 추가합니다.
검증
시스템이 다시 시작되면
getenforce명령이Enforcing:$ getenforce Enforcing
문제 해결
강제 모드로 변경한 후 SELinux는 올바르지 않거나 누락된 SELinux 정책 규칙으로 인해 일부 작업을 거부할 수 있습니다.
SELinux 거부 작업을 보려면 root로 다음 명령을 입력합니다.
# ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts today또는
se rsh-server패키지가 설치되어 있으면 다음을 입력합니다.# grep "SELinux is preventing" /var/log/messagesSELinux가 활성화되어 있고 감사 데몬(
auditd)이 시스템에서 실행되지 않는 경우dmesg명령의 출력에서 특정 SELinux 메시지를 검색합니다.# dmesg | grep -i -e type=1300 -e type=1400
자세한 내용은 SELinux와 관련된 문제 해결을 참조하십시오.
