2.6. 부팅 시 SELinux 모드 변경
부팅 시 다음 커널 매개변수를 설정하여 SELinux가 실행되는 방식을 변경할 수 있습니다.
- enforcing=0
이 매개변수를 설정하면 시스템이 허용 모드로 시작되어 문제를 해결할 때 유용합니다. 허용 모드를 사용하면 파일 시스템이 너무 손상된 경우 문제를 탐지하는 유일한 옵션이 될 수 있습니다. 또한 허용 모드에서 시스템은 레이블을 올바르게 생성합니다. 이 모드에서 생성된 AVC 메시지는 강제 모드와 다를 수 있습니다.
허용 모드에서는 일련의 동일한 거부에서 첫 번째 거부만 보고됩니다. 그러나 강제 모드에서는 디렉터리 읽기와 관련된 거부가 발생할 수 있으며 애플리케이션이 중지됩니다. 허용 모드에서는 동일한 AVC 메시지가 표시되지만 애플리케이션은 디렉터리에서 파일을 계속 읽고 각 거부에 대해 AVC를 가져옵니다.
- selinux=0
이 매개 변수는 커널이 SELinux 인프라의 일부를 로드하지 않도록 합니다. init 스크립트는
selinux=0매개 변수로 시스템이 부팅되고/.autorelabel파일을 만지는 것을 알 수 있습니다. 이렇게 하면 시스템이 다음에 SELinux를 사용하도록 설정할 때 레이블을 자동으로 다시 지정합니다.중요프로덕션 환경에서는
selinux=0매개변수를 사용하지 마십시오. 시스템을 디버깅하려면 SELinux를 비활성화하는 대신 일시적으로 허용 모드를 사용합니다.- autorelabel=1
이 매개 변수는 시스템에서 다음 명령과 유사하게 레이블을 다시 지정하도록 강제 적용합니다.
# touch /.autorelabel # reboot
파일 시스템에 많은 양의 레이블이 있는 경우 허용 모드에서 시스템을 시작하여 자동 레이블 프로세스가 성공적으로 수행되도록 합니다.
추가 리소스
checkreqprot와 같은 추가 SELinux 관련 커널 부팅 매개 변수는/usr/share/doc/파일을 참조하십시오. <KERNEL_VER> 문자열을 설치된 커널의 버전 번호로 바꿉니다. 예를 들면 다음과 같습니다.kernel-doc-<KERNEL_VER>/Documentation/admin-guide/kernel-parameters.txt# dnf install kernel-doc $ less /usr/share/doc/kernel-doc-4.18.0/Documentation/admin-guide/kernel-parameters.txt
