AL2023용 SELinux 비활성화 옵션 - Amazon Linux 2023
SELinux를 permissive 모드로 변경SELinux 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AL2023용 SELinux 비활성화 옵션

SELinux를 비활성화하면 SELinux 정책을 로드하거나 적용할 수 없으며 액세스 벡터 캐시(AVC) 메시지도 로깅되지 않습니다. SELinux를 실행하여 얻을 수 있는 모든 이점을 사용할 수 없습니다.

SELinux를 비활성화하는 대신 permissive 모드를 사용하는 것이 좋습니다. SELinux를 완전히 비활성화하는 것보다 permissive 모드에서 실행하는 비용이 약간 추가됩니다. SELinux를 비활성화한 후 enforcing 모드로 다시 전환하는 것보다 permissive 모드에서 enforcing 모드로 전환할 때 구성 수정이 휠씬 적습니다. 파일에 레이블을 지정할 수 있으며, 시스템에 활성 정책이 거부된 작업을 추적하고 기록할 수 있습니다.

SELinux를 permissive 모드로 변경

SELinux를 permissive 모드에서 실행하면 SELinux 정책을 적용할 수 없습니다. permissive 모드에서는 SELinux가 AVC 메시지를 로깅하지만 작업을 거부하지는 않습니다. 이러한 AVC 메시지를 문제 해결, 디버깅 및 SELinux 정책 개선에 사용할 수 있습니다.

SELinux를 허용 모드로 변경하려면 다음 단계를 사용합니다.

  1. /etc/selinux/config 파일을 편집하여 permissive 모드로 변경합니다. SELINUX 값은 다음 예제와 같은 모습이어야 합니다.

    SELINUX=permissive

  2. 시스템을 다시 시작하여 permissive 모드 변경을 완료하세요.

    sudo reboot

SELinux 비활성화

SELinux를 비활성화하면 SELinux 정책을 로드하거나 적용할 수 없으며 AVC 메시지도 로깅되지 않습니다. SELinux를 실행하여 얻을 수 있는 모든 이점을 사용할 수 없습니다.

SELinux를 비활성화하려면 다음 단계를 사용합니다.

  1. grubby 패키지가 설치되어 있는지 확인합니다.

    rpm -q grubby
grubby-version

  2. 커널 명령줄에 selinux=0을 추가하여 부트로더를 구성하세요.

    sudo grubby --update-kernel ALL --args selinux=0

  3. 시스템을 재시작합니다.

    sudo reboot

  4. getenforce 명령을 실행하여 SELinux가 Disabled 상태인지 확인합니다.

    $ getenforce
Disabled

SELinux에 대한 자세한 내용은 SELinux 노트북SELinux 구성 섹션을 참조하세요.