背景

SELinux(Security Enhanced Linux)は、linuxベースのシステムを内部および外部の攻撃から強化するために使用できる必須のアクセス制御フレームワークです。 例えば、httpサーバのようなデーモンがファイルシステムのどの部分にアクセスできるかを指定するために使用することができ、攻撃者がデーモンの制御を得た場合、さらなる害の可能性が制限されるようにすることができます。

これを機能させるには、問題のシステムで実行されているプログラムの正当なニーズによく一致するセキュリティポリシーでSELinuxを構成する必要があ 多くの場合、SELinuxが原因であることを明確に示すことはありません。 このため、不慣れなシステムのトラブルシューティングを試みる場合は、無駄な労力を避けるために、SELinuxが早期に有効になっているかどうかを確認するSELinuxが有効になっているかどうかを判断する方法の1つは、getenforceコマンドを使用することです:3つの可能な結果があります:

Disabled

SELinuxがインストールされているが、非アクティブであることを示します。

Disabled

このモードでは、システムの動作に正または負の影響を与えてはなりません。

Permissive

は、SELinuxがアクティブであることを示しますが、セキュリティポリシーの違反のみを監視し、それらを防ぐために介入しません。 このモードでは、いくつかの追加のログメッセージを観察することができ、ファイルシステムにラベルを付け直す必要がある場合はブートストラッププロセスが長くなりますが、そうでない場合はシステムの動作にほとんどまたはまったく影響しません。 このモードは通常、SELinuxの初期設定を容易にするために使用されますが、目的が強化ではなく監査である場合、このように残すことができない理由はあ

Enforcing

は、SELinuxがアクティブであり、セキュリティポリシーの違反を防ぐように構成されていることを示します。 これは、初期設定が完了した後にシステムを強化するために使用されるモードです。 そのため、セキュリティポリシーが制限されすぎると、プログラムが失敗します。

Alternatives

sestatusコマンドを使用する

sestatusコマンドを使用すると、同じ情報などを取得することができます。

sestatus

この方法を使用すると、SELinuxのステータス(有効または無効になっているかどうか)は、そのモード(permissiveまたはenforcing)とは別に報告されます。

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted