SELinux の起動とログイン

【はじめに】

SELinuxを設定すると、OS全体のセキュリティ管理がSELinuxに移行されるため、元に戻すこと
が困難になります。SELinuxの機能や設定方法を事前にご確認頂き、十分にご理解頂いた上で
設定を有効にしてください。

Turbolinux 10 Server の初期設定では、代表的なネットワークサービスである BIND、
Apache、Postfix の基本的な機能のみ SELinux 環境下で動作するように、あらかじめ
ポリシーファイルの設定がされています。その他のサービスを運用する場合には、適宜
ポリシーファイルの設定が必要になります。

【設定】

1)
Turbolinux 10 Server で SELinux カーネルを起動するには、はじめに通常のカーネルで
起動したシステムにログインし、root ユーザーで以下のコマンドを実行します。
これにより、デフォルトのポリシーファイルに基づき、システムに存在するファイルに
対して、タイプが付与されます。この処理は、しばらく時間がかかります。

# fixfiles relabel

2)
SELinux には、enforcing と permissive と呼ばれる 2 つの動作モードがあります。
enforcing が通常のモードであり、SELinux が機能している状態です。
permissive は、本来であれば拒否すべきリソースへのアクセスを許可し、ログのみを出力
するモードです。ログは /var/log/messages ファイルに記録されます。このモードは、
ポリシーファイルを設定するときのデバッグ目的として利用されます。permissive モード
でプログラムを動作させ、その間に拒否されたリソースをログで確認すれば、その
ドメイン（プロセス）を SELinux 対応するために何の設定が足りないのかを把握するこ
とができます。
デフォルトのモードは、/etc/sysconfig/selinux で指定されています。

3)
SELinux カーネルを有効にするために、ブートオプション selinux=1 を指定してシステム
を再起動します。以下のように /boot/grub/grub.conf のカーネルパラメータに
selinux=1 を追記します。

例) [/boot/grub/grub.conf]
------------------------------------------------
...(省略)

title Turbolinux
kernel (hd0,0)/boot/vmlinuz root=0802
initrd (hd0,0)/boot/initrd

title SELinux
kernel (hd0,0)/boot/vmlinuz root=0802 selinux=1
initrd (hd0,0)/boot/initrd
------------------------------------------------

4)
SELinuxを有効にして起動すると、SELinux用のログインプロンプトが表示されます。
ユーザー名とパスワードを入力すると、デフォルトのコンテキストが表示されます。
ユーザーが他のロールでもログイン可能な場合は、デフォルト以外のロールで
ログインするかどうかを問われます。そのまま［Enter］キーを押すと、デフォルトの
ロールでログインしますが、y を入力するとロールを選択することができます。

(none)

対象製品

Turbolinux 10 Server

Last modified : Fri Dec 03 JST 2004 # 1

---