4.11. SELinux ポリシーモジュールの優先順位付けおよび無効化

/etc/selinux/ 内の SELinux モジュールストレージでは、SELinux モジュールでの優先順位付けが使用できます。以下のコマンドを root で入力すると、異なる優先順位の 2 つのモジュールディレクトリーが表示されます。

~]# ls /etc/selinux/targeted/active/modules
100  400  disabled

semodule ユーティリティーが使用するデフォルトの優先順位は 400 ですが、selinux-policy パッケージで使用される優先順位は 100 になります。このため、ほとんどの SELinux モジュールは優先順位 100 でインストールされます。

既存のモジュールは、より高い優先順位を使った同じ名前の修正モジュールで上書きすることができます。同じ名前で異なる優先順位のモジュールある場合は、ポリシーのビルド時に一番高い優先順位のモジュールが使用されます。

例4.1 SELinux ポリシーモジュール優先順位の使用

修正されたファイルコンテキストで新規モジュールを用意します。このモジュールを semodule -i コマンドでインストールし、モジュールの優先順位を 400 に設定します。以下の例では、sandbox.pp を使用します。

~]# semodule -X 400 -i sandbox.pp
~]# semodule --list-modules=full | grep sandbox
sandbox           pp
sandbox           pp

デフォルトのモジュールに戻るには、root で semodule -r コマンドを入力します。

~]# semodule -X 400 -r sandbox
libsemanage.semanage_direct_remove_key: sandbox module at priority 100 is now active.

システムポリシーモジュールの無効化

システムポリシーモジュールを無効にするには、root で以下のコマンドを入力します。

semodule -d MODULE_NAME

警告

semodule -r コマンドを使用してシステムポリシーモジュールを削除すると、システムのストレージから削除され再度読み込むことはできません。すべてのシステムポリシーモジュールを復元するための、無用な selinux-policy-targeted パッケージ再インストール作業の実施を避けるためには、代わりに semodule -d コマンドを使用します。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

4.11. SELinux ポリシーモジュールの優先順位付けおよび無効化

システムポリシーモジュールの無効化

Where did the comment section go?