• お問い合わせ
  • ユーザー登録
ドキュメント
サポート案内
ユーザー登録
サポートセンター
ドキュメント
ダウンロード
セキュリティ
よくある質問とその回答
製品マニュアル
カタログ
収録パッケージ一覧


カーネル No. 636

SELinux の起動とログイン


【はじめに】

SELinuxを設定すると、OS全体のセキュリティ管理がSELinuxに移行されるため、元に戻すこと
が困難になります。SELinuxの機能や設定方法を事前にご確認頂き、十分にご理解頂いた上で
設定を有効にしてください。

Turbolinux 10 Server の初期設定では、代表的なネットワークサービスである BIND、
Apache、Postfix の基本的な機能のみ SELinux 環境下で動作するように、あらかじめ
ポリシーファイルの設定がされています。その他のサービスを運用する場合には、適宜
ポリシーファイルの設定が必要になります。

【設定】

1)
Turbolinux 10 Server で SELinux カーネルを起動するには、はじめに通常のカーネルで
起動したシステムにログインし、root ユーザーで以下のコマンドを実行します。
これにより、デフォルトのポリシーファイルに基づき、システムに存在するファイルに
対して、タイプが付与されます。この処理は、しばらく時間がかかります。

# fixfiles relabel

2)
SELinux には、enforcing と permissive と呼ばれる 2 つの動作モードがあります。
enforcing が通常のモードであり、SELinux が機能している状態です。
permissive は、本来であれば拒否すべきリソースへのアクセスを許可し、ログのみを出力
するモードです。ログは /var/log/messages ファイルに記録されます。このモードは、
ポリシーファイルを設定するときのデバッグ目的として利用されます。permissive モード
でプログラムを動作させ、その間に拒否されたリソースをログで確認すれば、その
ドメイン(プロセス)を SELinux 対応するために何の設定が足りないのかを把握するこ
とができます。
デフォルトのモードは、/etc/sysconfig/selinux で指定されています。

3)
SELinux カーネルを有効にするために、ブートオプション selinux=1 を指定してシステム
を再起動します。以下のように /boot/grub/grub.conf のカーネルパラメータに
selinux=1 を追記します。

例) [/boot/grub/grub.conf]
------------------------------------------------
...(省略)

title Turbolinux
kernel (hd0,0)/boot/vmlinuz root=0802
initrd (hd0,0)/boot/initrd

title SELinux
kernel (hd0,0)/boot/vmlinuz root=0802 selinux=1
initrd (hd0,0)/boot/initrd
------------------------------------------------

4)
SELinuxを有効にして起動すると、SELinux用のログインプロンプトが表示されます。
ユーザー名とパスワードを入力すると、デフォルトのコンテキストが表示されます。
ユーザーが他のロールでもログイン可能な場合は、デフォルト以外のロールで
ログインするかどうかを問われます。そのまま[Enter]キーを押すと、デフォルトの
ロールでログインしますが、y を入力するとロールを選択することができます。
キーワード
SELinux

関連文書
(none)

対象製品
  • Turbolinux 10 Server
    Last modified : Fri Dec 03 JST 2004 # 1