SELinux (読み方はエスイーリナックス) とは？、Androidでの設定方法、無効

Androidを運用していてよく遭遇するトラブルの原因一つがSELinuxです。

本来はセキュリティを高める機能なのですが、上級なサーバー管理者でもトラブルと一日ログと睨めっこしながらハマることがあります。

SELinuxはデフォルトで有効になっていますが、批判があるのは承知の上で私はオフにして運用することがよくあります。

SELinuxのCentOS 7での設定については、以下にまとめました。

SELinuxをCentOS 7 で有効化・無効化 (disabled, enforcing, permissive, setenforce) 停止の確認、設定

Linuxの設定をしている際に、SELinuxのコマンドはよく必要になるけれど、よく忘れるのでSELinuxの無効化の方法やコマンド類をメモしておきました。 SELinux (エスイーリナックス) とは何か SELinuxは、Sec...

SELinuxとは？読み方は？
SELinuxのコマンド
SELinuxの設定
AndroidでのSELinuxの設定
まとめ
さくらのVPSサーバー

SELinuxとは？読み方は？

SELinux(Security-Enhanced Linux : エスイーリナックス)とは、アメリカ国家安全保障局がGPL下で提供しているLinuxのカーネルに強制アクセス制御(MAC)機能を付加するモジュールの名称です。

SELinuxの読み方は、エスイーリナックスです。

SELinuxのコマンド

SELinuxの動作確認方法

# getenforce
Permissive

1 2	# getenforce Permissive

このコマンドの結果の意味は以下の通りです。

disabled：SELinuxを無効
enforcing：ポリシーに違反するアクセスに対し、ログに書き出して拒否(SELinuxは有効)
permissive：ポリシーに違反するアクセスに対し、ログに書き出して許可(SELinuxは無効)

ちょっと分かりにくいですが、

enforcingは、SELinuxが有効化されており、

disabled、permissiveはSELinuxが無効化されている状態です。

SELinuxを一時的に無効化

以下のコマンドでSELinuxを一時的に無効化できます。

# setenforce 0

1	# setenforce 0

何かの問題が発生した時にSELinuxを一時的に無効にして問題の切り分けを行います。

注意点として、再起動すると再度初期設定に戻ります。

初期設定は、/etc/selinux/configに書いてある設定です。

SELinuxを一時的に有効化

以下のコマンドでSELinuxを一時的に有効化できます。

# setenforce 1

1	# setenforce 1

SELinuxの設定

/etc/selinux/config を変更します。

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - No SELinux policy is loaded.

#SELINUX=enforcing

SELINUX=disabled

# SELINUXTYPE= can take one of these two values:

# targeted - Targeted processes are protected,

# minimum - Modification of targeted policy. Only selected processes are protected.

# mls - Multi Level Security protection.

SELINUXTYPE=targeted

SELINUX=となっているところを、disabled、enforcingまたはpermissiveを設定します。

AndroidでのSELinuxの設定

AndroidもLinux系のOSですので、SELinuxの設定があります。

以下に詳しく説明がありました。

Android OS　起動とSElinux

・https://qiita.com/developer-kikikaikai/items/4e171c0ad43e43de353e

AndroidとSELinux - SlideShare

・https://www.slideshare.net/sola1980/androidse-linux

まとめ

私はデフォルトでオフにすると書いてしまいましたが、SELinuxについてはホントに奥が深く一冊の本にまとめられるぐらいになっています。

これらをちゃんと学習してサイトを運用することは意味があると思います。

私もこれから少しずつ学習していきたいと思っています。
SELinuxシステム管理 ―セキュアOSの基礎と運用

SELinux徹底ガイド―セキュアOSによるシステム構築と運用基本的な仕組みから高度な運用管理方法までを徹底解説

さくらのVPSサーバー

↓月額685円からの低価格＆高パフォーマンスのVPS、さくらのVPSはコチラ

SSDプランが月々685円から使える！さくらのVPS

SELinuxとは？読み方は？

SELinuxのコマンド

SELinuxの設定

AndroidでのSELinuxの設定

まとめ

さくらのVPSサーバー

コメント