【 getenforce 】コマンド／【 setenforce 】コマンド――SELinuxのモードを表示／一時的に変更する：Linux基本コマンドTips（232）

Linux基本コマンドTips一覧

　本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、SELinuxの動作モードを表示する「getenforce」コマンドと、SELinuxの動作モードを一時的に変更する「setenforce」コマンドです。

getenforce／setenforceコマンドとは？

　「getenforce」はSELinuxの動作モードを表示するコマンド、「setenforce」はSELinuxの動作モードを一時的に変更するコマンドです。

　SELinux（Security-Enhanced Linux）とは、強制アクセス制御（Mandatory Access Control）を加えたLinuxのカーネルモジュールとその機能をいいます。SELinuxを有効にすると、通常のファイルシステムよりも高度なアクセス制御機能を使用できるようになります。

getenforce／setenforceの主な操作オプション

どちらもオプションはありません

現在のSELinuxの動作モードを表示する

　「getenforce」で、現在のSELinuxの動作モードを表示します（画面1）。表示するモードは、以下の3種類です。

画面1　SELinuxの動作モードを確認したところ

SELinuxの動作モードを一時的に変更する

　「setenforce」で、SELinuxのモードを変更します（画面2）。「Enforcing」（有効）からは「Permissive」（ログのみ）へ、「Permissive」からは「Enforcing」に変更します。実行にはroot権限が必要です。sudoコマンド（第68回）などを利用してください。

　設定はシステムの再起動まで有効です。常に「Enforcing」に設定したい場合、または「Permissive」としたい場合は、システムの設定ファイル（/etc/selinux/config、※1）に「SELINUX=enforcing」というように設定を書き込みます。

　SELinuxが完全に無効となる「Disabled」にする場合、または「Disabled」から「Enforcing」や「Permissive」に変更する場合も、システムの設定ファイル（/etc/selinux/config）で設定後、再起動します。

画面2　SELinuxの状態を設定、表示したところ

　なお、SELinuxが「Enforcing」か「Permissive」の場合に作成したファイルには、拡張属性としてセキュリティコンテキストが自動で追加されます。

　このセキュリティコンテキストは、SELinuxを「Disabled」にしても残っています。個々のファイルからセキュリティコンテキストを削除したい場合は、setfattrコマンド（第230回）やattrコマンド（第231回）を使用します。

　なお、SELinuxのセキュリティコンテキストを再設定する場合は、restoreconコマンドなどを使用します。