skydum

個人的な作業記録とか備忘録代わりのメモ

CentOS Stream 9でSELinuxをdisabledにする

SELinux CentOS Stream9

CentOS Stream 9でSELinuxを完全に無効化する

CentOS Stream 9のダウンロード

CentOS Stream 9のダウンロード

CeneOS Steam 9での変更点

CentOS Stream 9が正式に発表され、これらが最も重要な変更点です
SELinuxを無効にする場合/etc/selinux/configを

SELINUX=disabled

に変更すれば無効化ができたがCentOS Stream 9では無効にすることができなくなった。無効にするには起動時のkernelのオプションとしてselinux=0を指定する必要がある。

SELnixuの完全な無効化

SELinuxの実践を見た方がとても詳しいが、すぐに忘れてしまうので記載しておく。
SELinuxの無効化にはkernelの起動オプションの変更が必要となる。
kernelの起動オプションを変更できるgrubbyコマンドを利用してSELinuxを永続的に無効化するオプションを追加する。

SELinuxが有効であることを確認

# getenforce
Enforcing

現在設定されているkernelの起動時のオプションの一覧を表示する

argsの所がkernelに渡される起動オプション(2箇所ある)

# grubby --info ALL
index=0
kernel="/boot/vmlinuz-5.14.0-124.el9.x86_64"
args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap"
root="/dev/mapper/cs-root"
initrd="/boot/initramfs-5.14.0-124.el9.x86_64.img"
title="CentOS Stream (5.14.0-124.el9.x86_64) 9"
id="472bf047f36a4bd1a9aaf50bd99d1a89-5.14.0-124.el9.x86_64"
index=1
kernel="/boot/vmlinuz-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89"
args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap"
root="/dev/mapper/cs-root"
initrd="/boot/initramfs-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89.img"
title="CentOS Stream (0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89) 9"
id="472bf047f36a4bd1a9aaf50bd99d1a89-0-rescue"

kernelの起動オプションにselinux=0を追加する

kernelの起動時の選択肢の全ての項目にselinux=0を追記する(2箇所追加する)

# grubby --update-kernel ALL --args 'selinux=0'

再度現在設定されているkernelの起動時のオプションの一覧を表示する

argsの所がkernelに渡される起動オプション

# grubby --info ALL
index=0
kernel="/boot/vmlinuz-5.14.0-124.el9.x86_64"
args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap selinux=0"
root="/dev/mapper/cs-root"
initrd="/boot/initramfs-5.14.0-124.el9.x86_64.img"
title="CentOS Stream (5.14.0-124.el9.x86_64) 9"
id="472bf047f36a4bd1a9aaf50bd99d1a89-5.14.0-124.el9.x86_64"
index=1
kernel="/boot/vmlinuz-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89"
args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap selinux=0"
root="/dev/mapper/cs-root"
initrd="/boot/initramfs-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89.img"
title="CentOS Stream (0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89) 9"
id="472bf047f36a4bd1a9aaf50bd99d1a89-0-rescue"

再起動

# reboot

getenforceで再確認

# getenforce
Disabled