SELinuxの状態を確認する方法

SELinux とは、NSAが開発したMandatory Access Control (MAC) システムのことです。 ほとんどの Linux ディストリビューションに搭載されている Discretionary Access Control (DAC) の代わりとして、SELinux が形成されました。 SELinux 8は、すべてのLinuxベースのシステムのセキュリティが依存するビルトインセキュリティ機構である。 このセキュリティ機構は、「Enforcing」、「Permissive」、「Disabled」の3つの動作モードがあり、作業内容に応じて3つのモードを切り替えることができる。 これらのモードはそれぞれ異なる目的を果たすので、SELinux のデフォルトのモードを変更する前に十分に理解しておく必要があります。

SELinux に関する前回の記事で、それを無効にする方法についてお伝えしました。 SELinux は、プロセスの実行に関連する権利を制限し、アプリケーションやシステムの脆弱性を悪用することで発生する可能性のある損害を軽減する力を提供します。 このため、無効化する正当な理由がない限り、SELinux を強制モードで使用することを推奨します。 しかし、本日はCentOS 8でSELinuxの状態を確認する方法をご紹介します。

CentOS 8でSELinuxの状態を確認するユースケース

この記事の序文を読んで、そもそもなぜSELinuxの状態を確認する必要があるのかと思われたかもしれませんね。 Linux ベースのシステムのセキュリティは、すべて SELinux に依存していることは既に述べたとおりです。 SELinux はバックグラウンドで実行されるメカニズムであるため、ユーザーはその状態を知ることができません。 SELinux が有効か無効かを知るには、特にその状態を問い合わせる必要があります。 SELinuxが有効な場合、どのようなモードで動作しているのか? Enforcing(強制)」なのか「Permissive(許可)」なのか?

Centos 8 で SELinux の状態を確認するさまざまな方法を知るには、この記事の次のセクションを参照してください。

Methods of Checking SELinux Status on CentOS 8

CentOS 8 で SELinux の状態を確認するには、以下の 3 つの方法のいずれかを使用できます。

Method 1: Using the “sestatus” Command

1 行のコマンドだけなので、これは SELinux の状態を調べる最もシンプルで簡単な方法です。 CentOS 8 の SELinux の状態を確認するために「sestatus」コマンドを使用するには、ターミナルで次のようにこのコマンドを実行する必要があります:

$ sestatus

このコマンドを実行すると CentOS 8 上の SELinux の状態以外の多くの情報を表示することができます。 今回の場合、SELinuxは有効になっているため、下図のようにステータスが「enabled」になっています。 これを行うには、まず、お好みのテキストエディタを使用して、設定ファイルにアクセスする必要があります。

$ sudo nano /etc/selinux/config

上記のコマンドを正常に実行すると、SELinux 設定ファイルは nano エディタ (デフォルトのエディタ) で開かれます。 SELinux’ という名前の変数に移動し、そのテキストを ‘enabled’ から ‘disabled’ に変更する必要があります。 その後、この設定ファイルを保存して閉じます。 しかし、SELinux の状態を有効に保つことが推奨されます。

Method 2: “getenforce” コマンドの使用

これも 1 行のコマンドで SELinux の状態を確認できるため、簡単な方法と言えます。 CentOS 8 で有効になっている SELinux のモードを知りたいだけであれば、次のように getenforce コマンドを利用することができます。

$ getenforce

このコマンドを実行しても他の情報は表示されず、SELinux が現在「強制」モードで作動していることのみが表示され、以下のイメージで強調表示されています。

Method 3: “/etc/selinux/config” ファイルを使用する

SELinux の状態をターミナルで見るだけでは満足できない場合は、CentOS 8 の /etc/selinux/config ファイルを見てみるとよいかもしれません。 SELinux の設定や状態に関する情報は、すべて /etc/selinux/config ファイルに保存されています。 そのため、CentOS 8でSELinuxの状態を確認したい場合は、以下の「cat」コマンドを実行して、このファイルの内容を表示することも選択できます。

$ cat /etc/selinux/config

このコマンドを実行すると、ターミナル上にSELinuxの設定ファイル、 /etc/selinux/config が表示され、下記の画像で示されているように、簡単に CentOS 8 上のSELinuxの状態を把握することが可能です。

結論

SELinux は、Linux カーネルの回避策を提供して、アクセス制御セキュリティ ポリシーを支援する Linux ユーティリティです。 この記事で説明した 3 つの方法のいずれかを使用することで、CentOS 8 の SELinux の状態を簡単に確認することができます。 ここで紹介した3つの方法はすべて同じように効果的であり、ユーザーはどの方法が一番好きかを選択することができます。 SELinux の状態を知ることで、過去に誤って、または意図的に無効化した場合に、SELinux を有効にすることもできます。 このチュートリアルに従うことで、CentOS 8.

のSELinuxの状態を確認することができるようになります。

コメントを残す

メールアドレスが公開されることはありません。