CentOS Stream 9でSELinuxを完全に無効化する
CentOS Stream 9のダウンロード
- CentOS Stream 9のダウンロード
CeneOS Steam 9での変更点
SELINUX=disabled
に変更すれば無効化ができたがCentOS Stream 9では無効にすることができなくなった。 無効にするには起動時のkernelのオプションとしてselinux=0を指定する必要がある。
SELnixuの完全な無効化
- SELinuxの実践 を見た方がとても詳しいが、すぐに忘れてしまうので記載しておく。
- SELinuxの無効化にはkernelの起動オプションの変更が必要となる。
- kernelの起動オプションを変更できるgrubbyコマンドを利用してSELinuxを永続的に無効化するオプションを追加する。
SELinuxが有効であることを確認
# getenforce Enforcing
現在設定されているkernelの起動時のオプションの一覧を表示する
- argsの所がkernelに渡される起動オプション(2箇所ある)
# grubby --info ALL index=0 kernel="/boot/vmlinuz-5.14.0-124.el9.x86_64" args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap" root="/dev/mapper/cs-root" initrd="/boot/initramfs-5.14.0-124.el9.x86_64.img" title="CentOS Stream (5.14.0-124.el9.x86_64) 9" id="472bf047f36a4bd1a9aaf50bd99d1a89-5.14.0-124.el9.x86_64" index=1 kernel="/boot/vmlinuz-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89" args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap" root="/dev/mapper/cs-root" initrd="/boot/initramfs-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89.img" title="CentOS Stream (0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89) 9" id="472bf047f36a4bd1a9aaf50bd99d1a89-0-rescue"
kernelの起動オプションにselinux=0を追加する
- kernelの起動時の選択肢の全ての項目にselinux=0を追記する(2箇所追加する)
# grubby --update-kernel ALL --args 'selinux=0'
再度現在設定されているkernelの起動時のオプションの一覧を表示する
- argsの所がkernelに渡される起動オプション
# grubby --info ALL index=0 kernel="/boot/vmlinuz-5.14.0-124.el9.x86_64" args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap selinux=0" root="/dev/mapper/cs-root" initrd="/boot/initramfs-5.14.0-124.el9.x86_64.img" title="CentOS Stream (5.14.0-124.el9.x86_64) 9" id="472bf047f36a4bd1a9aaf50bd99d1a89-5.14.0-124.el9.x86_64" index=1 kernel="/boot/vmlinuz-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89" args="ro resume=/dev/mapper/cs-swap rd.lvm.lv=cs/root rd.lvm.lv=cs/swap selinux=0" root="/dev/mapper/cs-root" initrd="/boot/initramfs-0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89.img" title="CentOS Stream (0-rescue-472bf047f36a4bd1a9aaf50bd99d1a89) 9" id="472bf047f36a4bd1a9aaf50bd99d1a89-0-rescue"
再起動
# reboot
getenforceで再確認
# getenforce Disabled