4.12. SELinux ポリシーモジュールの優先順位付けおよび無効化

/etc/selinux/ 内の SELinux モジュールストレージでは、SELinux モジュールでの優先順位付けが使用できます。以下のコマンドを root で入力すると、異なる優先順位の 2 つのモジュールディレクトリーが表示されます。
~]# ls /etc/selinux/targeted/active/modules
100  400  disabled
semodule ユーティリティーが使用するデフォルトの優先順位は 400 ですが、selinux-policy パッケージで使用される優先順位は 100 になります。このため、ほとんどの SELinux モジュールは優先順位 100 でインストールされます。
既存のモジュールは、より高い優先順位を使った同じ名前の修正モジュールで上書きすることができます。同じ名前で異なる優先順位のモジュールある場合は、ポリシーのビルド時に一番高い優先順位のモジュールが使用されます。

例4.1 SELinux ポリシーモジュール優先順位の使用

修正されたファイルコンテキストで新規モジュールを用意します。このモジュールを semodule -i コマンドでインストールし、モジュールの優先順位を 400 に設定します。以下の例では、sandbox.pp を使用します。
~]# semodule -X 400 -i sandbox.pp
~]# semodule --list-modules=full | grep sandbox
400 sandbox           pp
100 sandbox           pp
デフォルトのモジュールに戻るには、root で semodule -r コマンドを入力します。
~]# semodule -X 400 -r sandbox
libsemanage.semanage_direct_remove_key: sandbox module at priority 100 is now active.

システムポリシーモジュールの無効化

システムポリシーモジュールを無効にするには、root で以下のコマンドを入力します。
semodule -d MODULE_NAME

警告

semodule -r コマンドを使用してシステムポリシーモジュールを削除すると、システムのストレージから削除され再度読み込むことはできません。すべてのシステムポリシーモジュールを復元するための、無用な selinux-policy-targeted パッケージ再インストール作業の実施を避けるためには、代わりに semodule -d コマンドを使用します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。