第1回 トラブル対処の第一歩は「permissiveモード」:サルでも分かるSELinuxトラブルシュート(2/2 ページ)
筆者はこれまで、SELinuxの効果や使うべき場所について紹介してきました。その中で、「SELinuxをとりあえず使うだけでも効果がある」と紹介しました。今回から数回に分けて、「とりあえず使う方法」について解説したいと思います。
トラブル対処の第一歩は「permissiveモード」
FC6のデフォルトがenforcingモードであることはすでに述べました。もともと付いているデフォルトのポリシーで、既に多くの設定が行われているので、ある程度は問題なく動作するはずです。しかし、システムやアプリケーションの設定や、Webコンテンツなどの追加/変更を行うと、うまく動かなくなることがあります。
問題の切り分け方としては、enforcingモードで動作に問題があった場合、permissiveモードにして、再度動作させてみるのが鉄則です。これにより、「SELinuxの(ポリシーの)せいで動かないのか、ほかに原因があるのか」が判別できます。permissiveモードでも動作しないのであれば、SELinuxが原因ではありません。ほかの設定を確認しましょう。
今回のポイント: システム動作に問題があったら、まずpermissiveモードに!
システム構築時には、まずpermissiveモードで動作するように設定し、先にポリシー以外の設定を行うことをお勧めします。SELinuxのポリシーは、ほかの設定に影響を受ける場合があり、システム構築の最後に扱う方が効率的だからです。
SELinuxの動作モード確認と切り替え方法
動作モードの確認と切り替え方法は幾つかありますが、最も使うのは「SELinuxの動作モードをコマンドラインで切り替えるには」に紹介されている「getenforce」コマンドと「setenforce」コマンドです。getenforceコマンドは現在の動作モードを表示し、setenforceコマンドは後ろに0または1を引数として実行することで、それぞれpermissiveモード、enforcingモードに切り替えることができます。
# getenforce
Enforcing
# setenforce 0
# getenforce
Permissive
# setenforce 1
# getenforce
Enforcing
getenforceコマンドは一時的な変更なので、リブートすると元の設定に戻ってしまいます。boot時の動作モードの設定は、/etc/selinux/configファイルの「SELinux=〜」の行に書かれています。システム構築時など必要に応じて変更しましょう。
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0
コラム:起動すらしなくなったら?
enforcingモードで起動すらしなくなった場合は、bootパラメータを修正しpermissiveモードで起動させることができます。FC6では以下の手順で可能です。
- Grub起動画面で「e」を入力
- 次の画面でOSを選択して「e」を入力
- 次の画面で「kernel〜」で始まる行を選択して「e」を入力
- 行末に「enforcing=0」を追加し、リターンを入力する。
- 次の画面で「b」を入力する。
今回は、トラブル対処の第一歩として、「とりあえずpermissiveモードにする」ことを説明しました。次回からは、実際の問題解決方法に入りたいと思います。おたのしみに。
関連記事
- SELinuxは今すぐ使えるのか?
SELinuxなどのセキュアOSは、その重要性に比してあまり利用されていない。設定の難しさなどが敷居を高めているが、実際のところ、SELinuxは「とりあえず使う」だけでも一定の効果がある。SELinuxをマスターするための第一歩としてご覧頂きたい。 - 外部と内部、両面からの脅威に効くSELinux
前回、SELinuxは「とりあえず使う」だけでも効果があるという話をしました。今回は、「どういった場所に使うべきか、どのような効果を期待できるのか」についてお話したいと思います。 - SELinuxの現状:使いやすさの改善が進むSELinux
SELinuxは優れたセキュリティ強度を提供してくれるが、その設定の困難さ故か、SELinuxは使いにくいかのようなレッテルが貼られている。しかし、現状を見ると、2つのアプローチによって大きく変わりつつあることが分かる。 - SELinux Policy Editorの最新版、Fedora Extrasに取り込まれる
Copyright © ITmedia, Inc. All Rights Reserved.