すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:SELinuxの有効化または無効化

    ドキュメントセンター

    Elastic Compute Service:SELinuxの有効化または無効化

    最終更新日:Aug 27, 2024

    セキュリティ強化Linux (SELinux) は、アクセス制御のためのセキュリティポリシーベースの保護メカニズムを提供するLinuxカーネル機能です。 一般に、SELinuxを有効にしてプロセスの権限を制限し、悪意のあるプログラムからの脅威から保護することをお勧めします。 ただし、SELinuxの厳格なアクセス制御メカニズムにより、信頼できるアプリケーションやサービスが期待どおりに起動できない場合があります。 開発シナリオまたはデバッグシナリオでは、SELinuxを一時的に無効にすることができます。

    説明

    SELinuxの詳細については、SELinuxとは何ですか?

    考慮事項

    このトピックでは、次の画像を使用して、SELinuxを有効化および無効化する方法について説明します。

    • Alibaba Cloud Linux 3.2104 LTS 64ビット

    • CentOS 7.6 64-bit

    説明

    Fedora、Red Hat Enterprise Linux (RHEL) 9、Debian、Ubuntuなどの他のLinuxディストリビューションを使用している場合は、対応する公式ドキュメントまたはコミュニティガイドに記載されている操作を実行します。 SELinuxの有効化と無効化に使用できる方法とツールは、Linuxディストリビューションによって異なります。 Linuxディストリビューションの特定のバージョンでSELinuxを設定する方法については、Linuxディストリビューションの公式Webサイトにアクセスするか、コミュニティフォーラムを参照してください。

    SELinuxの有効化

    1. Linux Elastic Computer Service (ECS) インスタンスに接続します。

      詳細については、「パスワードまたはキーを使用したLinuxインスタンスへの接続」をご参照ください。

    2. 次のコマンドを実行して、SELinuxのステータスを確認します。 

      setatus

      SELinux statusパラメーターにdisabledが返された場合、インスタンスのSELinuxは無効になっています。image.png

    3. インスタンスで次のコマンドを実行して、SELinuxのconfigファイルを開きます。 

      sudo vi /etc/selinux/config

    4. SELINUX=disabledを含む行を見つけ、Iキーを押して挿入モードに入ります。

      次の表に、SELinuxを有効にするモードを示します。 ビジネス要件に基づいてモードを選択できます。

      モード

      説明

      実施する

      SELINUX= 施行

      SELinuxのセキュリティポリシーに違反するすべての要求は拒否されます。

      許可

      SELINUX= 寛容

      SELinuxのセキュリティポリシーに違反するリクエストは拒否されず、ログに記録されます。

      SELINUX状态

    5. Escキーを押して挿入モードを終了し、:wqと入力し、enterキーを押してファイルを保存して閉じます。

      重要

      configファイルを変更した後、変更を有効にするには、インスタンスを再起動する必要があります。 ただし、変更後すぐにインスタンスを再起動すると、システムが起動できない場合があります。 この問題を防ぐには、. autorelabelインスタンスを再起動する前に

    6. 次のコマンドを実行して、. autorelabelルートディレクトリのファイル: 

      sudo touch /.autorelabel

    7. ECS インスタンスを再起動します。 詳細は、「インスタンスの再起動」 をご参照ください。

      説明

      ECSインスタンスが再起動すると、SELinuxはすべてのシステムファイルを自動的に再ラベル付けします。 再ラベル操作は包括的なスキャンプロセスです。 すべてのシステムファイルを再ラベル付けするのに必要な時間は、システムファイルの数とサイズによって異なります。 インスタンスの再起動後、再ラベル操作が完了するまで、インスタンスに対して操作を実行しないことを推奨します。 これにより、ファイルのセキュリティ設定が正確になります。

    SELinuxの無効化

    重要

    SELinuxを無効にすると、システムが攻撃に対して脆弱になります。 したがって、潜在的なリスクを慎重に評価し、システムを保護する他の効果的なセキュリティ対策があることを確認することをお勧めします。

    1. Linux ECSインスタンスに接続します。

      詳細については、「パスワードまたはキーを使用したLinuxインスタンスへの接続」をご参照ください。

    2. 次のコマンドを実行して、SELinuxのステータスを確認します。 

      setatus

      SELinux statusパラメーターにenabledが返された場合、インスタンスでSELinuxが有効になっています。更多SELinux信息

    3. SELinuxを一時的または永続的に無効にします。

      説明

      SELinuxを一時的に無効にすると、現在のセッションにのみ影響します。 インスタンスが再起動されると、SELinuxの元のステータスが復元されます。 設定ファイルを変更して、SELinuxを完全に無効にできます。 これにより、インスタンスの再起動後もSELinuxは無効のままになります。

      SELinuxを一時的に無効にする

      次のコマンドを実行して、SELinuxのモードを一時的にenforcingからpermissiveに変更します。 

      sudo setenforce 0

      SELinuxを完全に無効にする

      1. 次のコマンドを実行して、SELinuxのconfigファイルを開きます。 

        sudo vi /etc/selinux/config

      2. SELINUX=enforcingまたはSELINUX=permissiveを含む行を見つけ、Iキーを押して挿入モードに入り、行をSELINUX=disabledに変更します。更改SELinux状态

      3. Escキーを押して挿入モードを終了し、:wqと入力し、enterキーを押してファイルを保存して閉じます。

      4. ECS インスタンスを再起動します。

        詳細は、「インスタンスの再起動」 をご参照ください。

      5. 次のコマンドを実行して、SELinuxのステータスを確認します。 

        setatus

        SELinux statusパラメーターにdisabledが返された場合、SELinuxは完全に無効になります。

        image.png

    関連ドキュメント

    許可モードでは、ログを確認してSELinuxのセキュリティポリシーに違反するイベントを見つけたり、SELinuxモードが強制に変更された後に誤ってブロックされるリクエストを防ぐためにSELinuxポリシールールを変更したりできます。 詳細については、「システムログとスクリーンショットの表示」をご参照ください。