一馬力のメモ帳

MVSからLinuxまで。基盤屋さんは眠らない

SELinuxを無効化する手順を5ステップで紹介[CentOS7.3] (2018/12/09更新)

f:id:htbariki:20181209185722p:plain

SELinuxを無効化する手順を5ステップで紹介します。

SELinux (Security-Enhanced Linux)。これを正確に使える人いるのかな?
SELinuxが有効化された状態では色々なサービスが動かない事が多いので
「インストール→SELinuxの無効化」を流れ作業で行っている人も多いのではないでしょうか?

今回はCentOS7.3でSELinuxを無効化してみます。

目次


ステータス確認

SELinuxのステータス確認は
sestatusコマンドで確認できます。

コマンドの確認結果で

SELinux status:                 enabled

となっていれば有効化されています。

[参考] sestatusコマンドの結果

[root@centos73 ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28
[root@centos73 ~]#

SELinuxを無効化する

SELinuxを無効化するには
/etc/selinux/config
を修正します。

修正箇所は SELINUX=” 部分 

修正前) SELINUX=enforcing 
修正後) SELINUX=disabled 

のように修正します。

作業の流れは

① 設定のバックアップ
② 設定変更
③ 設定内容の確認
④ OSのの再起動

で行います。

(Step1)設定のバックアップ

[root@centos73 ~]# cp -p /etc/selinux/config  /etc/selinux/config.org
[root@centos73 ~]#
[root@centos73 ~]# ls -l /etc/selinux/config*
-rw-r--r--. 1 root root 547  1月 28 19:59 /etc/selinux/config
-rw-r--r--. 1 root root 547  1月 28 19:59 /etc/selinux/config.org
[root@centos73 ~]#

(Step2)設定変更

[root@centos73 ~]# vi /etc/selinux/config

(Step3)設定変更内容の確認(diff)

[root@centos73 ~]# diff -u /etc/selinux/config.org /etc/selinux/config
--- /etc/selinux/config.org    2018-01-28 19:59:18.991374421 +0900
+++ /etc/selinux/config    2018-02-10 21:51:23.644691380 +0900
@@ -4,7 +4,7 @@
 #     enforcing - SELinux security policy is enforced.
 #     permissive - SELinux prints warnings instead of enforcing.
 #     disabled - No SELinux policy is loaded.
-SELINUX=enforcing
+SELINUX=disabled
 # SELINUXTYPE= can take one of three two values:
 #     targeted - Targeted processes are protected,
 #     minimum - Modification of targeted policy. Only selected processes are protected.
[root@centos73 ~]#

注意

修正箇所が間違っていた場合。OSが起動できなくなります。
修正は確実に実施しましょう!

(Step4)設定反映(再起動)

[root@centos73 ~]# systemctl reboot

(Step5)ステータス確認

[root@centos73 ~]# sestatus
SELinux status:                 disabled

参考資料

SELinux ユーザーおよび管理者のガイド

https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/sect-security-enhanced_linux-working_with_selinux-changing_selinux_modes

試した環境

HW

Product Name
  ProLiant DL160 Gen8
CPU
  4 CPUs x Intel(R) Xeon(R) CPU E5-2603 0 @ 1.80GHz
Memory
  16GB
iLO Firmware Version
  2.44 Jul 19 2016

仮想化基盤

OS
 vmware ESXi 6.0.0 (Build 3620759)
操作環境
 VMware Host Client
 iMac (27-inch, Mid 2010)
 macOS High Sierra
 ブラウザ
  Firefox

ゲストOS

[root@centos73 ~]# cat /etc/redhat-release
CentOS Linux release 7.3.1611 (Core)
[root@centos73 ~]# uname -a
Linux centos73 3.10.0-514.el7.x86_64 #1 SMP Tue Nov 22 16:42:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
[root@centos73 ~]#