SELinux実行時の無効化機能が削除へ

SELinux実行時の無効化機能が削除へ

いつかの自分のための覚え書き。

/etc/selinux/config で設定できなくなる

こちらのページの情報によると、Linux 6.4 からは「SELinux の実行時無効化機能が削除」されるとあります。現在、現行の一部ディストリビューションでは /etc/selinux/config の設定で SELINUX=disabled としておくと、SELinux のポリシーが kernel に読み込まれる前に無効化できています(the runtime disable functionality)。これが「remove」と書いてある通り、この無効化機能そのものが削除されます。

そのため、Linux 6.4 以降で SELinux を無効化するには従来の方法ではなく、ブート時のパラメータに selinux=0 を付ける必要が出てきます、と書かれています。

利用者の視点では、Linux カーネルのバージョンによっては /etc/selinux/configdisabled だとしても、SELinux が有効になっている可能性があるという点を覚えておく必要がありそうです。

なお先の記事では、この昨日廃止に向けて数年間取り組んできたものの、目に見えた障害は個人のカーネルテストシステム1件だけであり、 selinux=0 によって問題に対応できたようです。

参考

コメントを残す

メールアドレスが公開されることはありません。