10.3. SELinux

/etc/selinux/config による SELinux の無効化に対応しなくなる

RHEL 9.0 リリースで、/etc/selinux/config ファイルの SELINUX=disabled オプションを使用した SELinux の無効化に対応する機能がカーネルから削除されました。/etc/selinux/config を介してのみ SELinux を無効にすると、システムは SELinux が有効な状態で起動しますが、ポリシーは読み込まれず、SELinux セキュリティーフックはカーネルに登録されたままになります。これは、/etc/selinux/config を使用して SELinux を無効にしても、引き続き一部のシステムリソースが必要であることを意味します。そのため、パフォーマンスが重視されるすべてのシナリオでは、代わりにカーネルコマンドラインを使用して SELinux を無効にする必要があります。

さらに、Anaconda インストールプログラムおよび対応する man ページが更新され、この変更が反映されました。この変更により、LSM (Linux Security Module) フックの初期化後の読み取り専用保護も有効になります。

SELinux を無効にする必要がある場合は、selinux=0 パラメーターをカーネルコマンドラインに追加します。

詳細はRemove support for SELinux run-time disable を参照してください。

SELinux ポリシーに制限されている追加サービス

RHEL 9.3 リリースでは、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されました。

  • qat
  • systemd-pstore
  • boothd
  • fdo-manufacturing-server
  • fdo-rendezvous-server
  • fdo-client-linuxapp
  • fdo-owner-onboarding-server

その結果、これらのサービスは unconfined_service_t SELinux ラベルでは実行されなくなり、SELinux enforcing モードで正常に実行されます。