ウェブサイト検索

SELinux ブール値を有効または無効にする方法


セキュリティ強化 Linux (SELinux) は、Linux カーネルに実装された強制アクセス制御 (MAC) のセキュリティ メカニズムです。これは、システム全体のセキュリティを強化するように設計された柔軟な操作です。システムにロードされたポリシーを使用して課せられるアクセス制御が可能になります。このポリシーは、通常のユーザーや不正な動作をするプログラムによって変更されることはありません。

次の記事では、SELinux とそれを Linux システムに実装する方法について明確に説明しています。

  1. Linux での SELinux または AppArmor を使用した強制アクセス制御の実装

この記事では、CentOS、RHEL、および Fedora Linux ディストリビューションで SELinux ブール値をオンまたはオフにする方法を説明します。

すべての SELinux ブール値を表示するには、less コマンドと一緒にgetsebool コマンドを使用します。

: すべてのブール値をリストするには、SELinux が有効な状態である必要があります。

getsebool -a | less

特定のプログラム (またはデーモン) のすべてのブール値を表示するには、grep ユーティリティを使用します。次のコマンドは、 すべてのhttpd ブール値を表示します。

getsebool -a | grep httpd

(1) SELinux ブール値をオンまたはオフにするには、以下で説明するように setsebool プログラム を使用します。

SELinux ブール値を有効または無効にする

システムに Web サーバーがインストールされている場合は、allow_httpd_sys_script_anon_write ブール値を有効にすることで、HTTPD スクリプトが public_content_rw_t というラベルの付いたディレクトリにファイルを書き込むことを許可できます。

getsebool allow_httpd_sys_script_anon_write 
setsebool allow_httpd_sys_script_anon_write on
OR
setsebool allow_httpd_sys_script_anon_write 1

同様に、上記の SELinux ブール値を無効またはオフにするには、次のコマンドを実行します。

setsebool allow_httpd_sys_script_anon_write off
setsebool allow_mount_anyfile off
OR
setsebool allow_httpd_sys_script_anon_write  0
setsebool allow_mount_anyfile  0

すべての SELinux ブール値の意味は、https://wiki.centos.org/TipsAndTricks/SelinuxBooleans で確認できます。

以下のセキュリティ関連記事を必ずお読みください。

  1. RHEL/CentOS で SELinux を一時的または永続的に無効にする方法
  2. SELinux による必須のアクセス制御の要点
  3. CentOS 7 の強化とセキュリティ保護に関するメガ ガイド

この記事では、CentOS、RHEL、および Fedora ディストリビューションで SELinux ブール値を有効または無効にする方法を説明しました。ご質問がある場合は、以下のコメントからお問い合わせください。