(CentOS6)無効化されたSELinuxを有効化する
さくらのVPSのCentOS6のSELinuxはデフォルトで「disabled」になっていたので、「enforcing」にした話
有効化については以下のサイトを参考にした。
必要なパッケージをインストール
# yum install selinux-policy-targeted selinux-policy libselinux libselinux-python libselinux-utils policycoreutils policycoreutils-python setroubleshoot setroubleshoot-server setroubleshoot-plugins
「/etc/selinux/config」の「SELINUX」を「permissive」に変更
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
サーバを再起動する(例:reboot)
サーバ起動時にファイルシステムのラベル付けがされる
起動完了後に以下のコマンドを実行し、SELinux が起動時にアクセスを拒否しなかったことを確認
# grep "SELinux is preventing" /var/log/messages
自分は問題がなかったが、問題がある場合第8章 トラブルシューティング | Red Hat Enterprise Linux 7を参照すべし
拒否メッセージがない場合は、「/etc/selinux/config」の「SELINUX」を「enforcing」に変更し再起動する
この状態では、SELinuxのログの「/var/log/audit/audit.log」が出力されない
そのため、SELinuxで怒られているのかわからない
そもそも「audit.log」はauditデーモンが出力するログらしい
参考サイト
Audit について学んでみる - いますぐ実践! Linuxシステム管理 / Vol.222
auditデーモンがインストールされていない場合は以下のコマンドでインストール
# yum install audit
auditデーモンの自動起動有効化・起動
# chkconfig auditd on # chkconfig --list auditd # service auditd start
auditデーモンが起動したことで、「/var/log/audit/audit.log」が出力される