4.5. システムの起動時に SELinux モードの変更

システムの起動時に、SELinux の実行方法を変更するカーネルパラメーターを設定できます。
enforcing=0
このパラメーターを設定すると、システムが Permissive モードで起動します。これは、問題のトラブルシューティングを行う際に役に立ちます。Permissive モードを使用することは、ファイルシステムが破損している場合に問題を検出する唯一のオプションとなります。また、Permissive モードでは、システムがラベルを正しく作成し続けます。このモードで作成される AVC メッセージは、Enforcing モードとは異なる場合があります。
Permissive モードでは、一連の同一拒否からの最初の拒否が報告されます。ただし、Enforcing モードでは、ディレクトリーの読み込みに関する拒否が発生し、アプリケーションが停止する可能性があります。Permissive モードでは、同じ AVC メッセージを取得しますが、アプリケーションはディレクトリー内のファイルを読み続け、拒否ごとに AVC を取得します。
selinux=0
このパラメーターにより、カーネルは、SELinux インフラストラクチャーのどの部分も読み込まないようになります。init スクリプトは、システムが selinux=0 パラメーターで起動してるのを認識し、/.autorelabel ファイルのタイムスタンプを変更します。これにより、次回 SELinux を有効にしてシステムを起動する際にシステムのラベルが自動的に再設定されます。

重要

Red Hat では、selinux=0 パラメーターを使用することは推奨されません。システムをデバッグする場合は、Permissive モードを使用することが推奨されます。
autorelabel=1
このパラメーターにより、システムで、以下のコマンドと同様の再ラベルが強制的に行われます。
~]# touch /.autorelabel
~]# reboot
システムラベルにエラーが大量に含まれる場合は、自動再ラベルプロセスを成功させるために、Permissive モードで起動する必要があります。
checkreqprot などの、追加の SELinux 関連のカーネル起動パラメーターの場合は、/usr/share/doc/kernel-doc-<KERNEL_VER>/Documentation/kernel-parameters.txt ファイルを参照してください。このドキュメントは、kernel-doc パッケージでインストールされます。<KERNEL_VER> 文字列を、インストール済みカーネルのバージョン番号に置き換えます。以下に例を示します。
~]# yum install kernel-doc
~]$ less /usr/share/doc/kernel-doc-3.10.0/Documentation/kernel-parameters.txt

このページには機械翻訳が使用されている場合があります (詳細はこちら)。