RHEL9だとSELINUXの無効化が難しいという件についてちょっとだけ確認してみました。
まず無効化が難しいという情報について。
一つ目は以下サイト。
RHEL9での変更点(セキュリティ編:Part1 SELinuxの無効化について) – security.sios.com
今まで通りにSELINUXの設定をするとハングするようです。
※RHEL9.0betaで試されているとのこと
続いてのサイト。
こちらはRHELの公式サイト。
10.3. SELinux Red Hat Enterprise Linux 9 | Red Hat Customer Portal
/etc/selinux/config による SELinux の無効化に対応しなくなる
今回のリリースで、/etc/selinux/config ファイルの SELINUX=disabled オプションを使用した SELinux の無効化に対応する機能がカーネルから削除されました。/etc/selinux/config でのみ SELinux を無効にすると、システムは SELinux が有効化されますが、ポリシーが読み込まれずに開始します。
との記載が。
さて、この情報を念頭に置いて実際に試してみました。
/etc/selinux/configを書き換えるとrebootを実施。
その結果はハングせず問題なく起動してgetenforceの結果はdisabledになりました。
RHEL9.0betaとの動作の違いが出ているようです。
しかしながらRHELの公式情報ではこれだけでは無効にならない模様。
SELinux を無効にする必要がある場合は、selinux=0
パラメーターをカーネルコマンドラインに追加します。
これを行う必要があるようです。
ではこちらはどのようにするのか。
2パターンあります。
1パターン目。一時的に無効化する方法。
まずは起動してKernel選択画面を出します。
この画面でeを押す。
すると一時的に起動時のオプション変更ができるように。
linuxから始まる行の一番最後に「 selinux=0」と追記をしてctrl + xをクリック
これで無効化されます。
なお再起動で有効化されることまで確認できました。
続いて永続的に変更する方法。
grubbyコマンドを使用します。
1つ目(Defaultで起動)のKernelに適用する場合には以下コマンドでOK。
grubby –update-kernel 0 –args ‘selinux=0’
再起動しても問題なくselinuxが無効化されました。
なお、kernelのver,が入っても設定は引き継がれていました。
現時点ではこの設定をするのがよいみたいです。
今後どうなるかはわかりませんが。
ピンバック: RHEL9でのネットワーク設定 | 遊軍的家