SELinuxを無効化する方法

CentOS
2021.05.15

SELinuxとは?

SELinuxはLinuxのセキュリティを強固にするシステムで、何世代も前の2003年よりLinuxカーネルに導入された機能です。

セキュリティポリシーに基いてファイル、プロセス、ポートなどの権限管理を行います。

SELinuxを無効化する理由

一見、すごく便利で頼りになるシステムに見えますよね。

ところが、セキュリティ強固すぎて現実的には通常使用にめちゃくちゃ支障がでます。いろいろなアプリがこれが有効になっている前提で作られていないこともあり、動かないものばっかりになります。

インストールできない、アプリが立ち上がらない、ファイルにアクセスできない、ディレクトリに入れない。

「もう!やってられない!」

悲しいことに私の知る限り、多くの人はインストールと共にまずは無効にしています・・・。プロジェクトの手順書にも多くは「SELinuxは無効にすること」等と書いてあります。

私も何度も有効にしてチャレンジしましたが、とても使い物にならなかったので毎回折れて無効にしてしまっています。

ので、無効にしましょう!
いつかみんなに好かれる機能になりますように・・・

SELinuxを無効化する設定

現在SELinuxの状態を確認

$ getenforce
Enforcing

・enforcing→SELinux有効。アクセス制限も有効。
・permissive→SELinux有効。アクセス制限は行わず警告を出力。
・disabled→SELinux無効。アクセス制限は行わない。

※設定は小文字入力を求めているのに表示は頭大文字。。。ややこしい

SELinuxを無効化設定する

では実際に無効化していきましょう

設定

# vi /etc/selinux/config

無効にする

SELINUX=disabled

ファイルの内容を確認

$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

再起動しないと反映されません。

間違ってSELINUXTYPE=のところに書かないように!
私はやってしまい起動しなくなりました・・・

いろいろな設定を終えてから起動しなくなると悲しすぎるので、できるだけインストールしたらすぐ設定して一度再起動して立ち上がる事を確認することをお勧めします。

OSを再起動します。

#shutdown -r now

最後に無効になっていることを確認

# getenforce 
Disabled

SELinux設定を間違えて起動しなくなった!

安心してください。設定ファイルさえ編集できればまた起動させられます。

自分でインストールしたOSの場合


以下のページを参考にしてみてください。

CentOS7でシングルユーザーモードで起動する方法
CentOS7でシングルユーザーモードで起動する方法ここではCentOS7でシングルユーザーモードで起動するための手順を紹介します。rootのパスワードを忘れた場合やSELinuxの設定を間違えてCentOSが起動しない場合...
trios.pro

クラウドのVMマシンインスタンスの場合

GCP(Google Cloud Platform)などのVMインスタンスの場合はもうちょっとややこしいです。

シリアルコンソール接続(直接マシンにディスプレイを接続するイメージ)で上記で紹介したブート方法が使えれば簡単ですが、GCPの場合はシリアルコンソール接続してもできません。

別のVMインスタンスを立ち上げてそこからトラブルの起きたディスクをマウントして編集するなどの手間が発生します。

なので、インストールしたらすぐに設定編集して一度再起動して確認することをお勧めします。

最後に

以上です。おつかれさまでした!

注意点としてはスペルや設定項目名など絶対にミスらないこと。OSが起動しなくなるので注意!
もし起動しなくなったらリカバリーモードで起動してファイル修正してください。

簡単だけどリスクの高い作業なので、インストールしていろいろとやる前にすぐに修正してしまいましょう。

コメント

タイトルとURLをコピーしました