openSUSE TumbleweedがSELinuxに移行

openSUSE Tumbleweedでは、SELinuxがデフォルトの強制アクセス制御システムとしてAppArmorに置き換えられ、新しいインストールでは強制モードが有効になっています。

大きな変化がopenSUSE Tumbleweedに訪れようとしています。メンテナーは、SELinuxが20250211のスナップショットから新しいTumbleweedインストールのデフォルトの必須アクセス制御（MAC）システムになると発表しました（すでに導入済み）。

SELinuxをデフォルトでインストールするためのスイッチは初期実装段階にあり、SUSEとopenSUSEの両方でSELinuxの採用を促進する決定と一致しています。デフォルトでより多くのサービスを制限することにより、セキュリティが向上することが期待されています。<&47;em>

これに関して、Tumbleweedの次のISOリリースは、SELinuxが有効で、デフォルトで強制モードで実行されることになります。 ちょっとしたメモですが、この変更は昨年の中頃にopenSUSEのメーリングリストで発表されました。

SELinux（セキュリティ強化Linux）に不慣れな方のために説明すると、これはLinuxカーネルに直接組み込まれたセキュリティ機能であり、システム上でアプリケーションやユーザーがアクセスできるものを制御します。

それは、プログラムやユーザーが何をできるかについて厳格なルールを設定し、システムが侵害された場合に不正アクセスや損害を防ぐのに役立ちます。本質的に、それはLinuxシステム上で誰が何にアクセスできるかを強制する追加の保護層です。

さて、非常に重要なことがあります。メンテナは、既存のTumbleweedインストールはそのまま維持されることを確認しました。すでにAppArmorに依存しているユーザーは移行を強制されることはなく、時間をかけて調整したプロファイルを引き続き使用できます。

言い換えれば、SELinuxに初めから移行することは、主に新しいインストールにのみ影響し、最小VMバリアントを使用しているものも含まれます。さらに、もしユーザーが新しいインストール中にAppArmorを好む場合、インストーラーは元に戻すための簡単なオプションを提供します。

多くのユーザーにとって、SELinuxへの切り替えは安心感をもたらすと期待されています。それでも、プロジェクトのリーダーたちは、重大な変更にはいくつかの障害が伴うことを認めています。

この変更は、既存のセキュリティモデルを維持するLeap 15.xには適用されないことも注目に値します。Tumbleweedでは、SELinuxをインストールした後の最初のブートでシステムラベリングの完了に少し余分な時間がかかることがあるため、セットアップ直後に動作が少し遅く感じても驚かないでください。

最後に、SELinuxポリシーに対する追加の更新や調整が今後数週間で予想されており、粗い部分を滑らかにすることが期待されています。詳細については、openSUSEの発表を参照してください。