自宅サーバーに"SELinux"は不要

このステップでは SELinux の無効化の設定を行います。

SELinux は、比較的新しい ディストリビューション に実装されているシステムで、 LinuxOS に対して高度な セキュリティ 機能を付加します。

LinuxOSはもともと "root" という管理 アカウント によって、 OS とそのOS上で動作するすべての アプリケーション がコントロールできるように設計されています。

この仕組みは サーバー 管理者にとっては面倒がなくて良いのですが、逆に考えれば非常に危険な仕組みともいえます。

なぜなら、悪意を持った第三者に万が一 "root" アカウントによる ログイン を許してしまったら、サーバーを完全に 乗っ取られて しまうことを意味するからです。

「自分は誰かに見破られるような安易なrootのパスワードを設定したりしないよ。」

と、反論する方もいるかもしれませんが、実はそういう基本的な配慮だけでは不正進入を100%防ぎきれないという厳しい現実があります。

例えば、あるサーバーアプリケーションを "root" アカウントから デーモン として実行し、インターネット空間からのアクセスを受け付けているとします。

そして、もしもそのサーバーアプリケーションに欠陥があって、その欠陥を足がかりにその実行アカウントである "root" を制御されてしまう可能性を否定できないからです。

SELinuxはこういった問題を克服するために、サーバー上の権限をアプリケーションやファイル単位で分散させ、万が一不正進入を許しても被害を「ごく一部分に」とどめるための仕組みを提供します。

ただSELinuxはまだ過渡期の技術で、初心者レベルで確実に設定できるようなガイドラインやツール類も揃っていないため、「これからLinuxを始める」レベルのユーザーがどうにかできるほど簡単なものではありません。

また、SELinuxは強固なセキュリティを提供するものですが、少なくとも個人の公開サーバーには「過剰な」システムです。

SELinuxは、例えばたくさんの個人情報を扱うような 公開サーバー の運用を始め、「情報が漏れたらとんでもない損害を受けるかもしれない」ような場面になったときに、改めて勉強してから導入を検討しても良いと思います。

以前のバージョンのCentOSでは、インストールのステップの中で有効／無効の選択ができたのですが、CentOS6では デフォルト で 有効 に設定されてしまうため、ここで無効に設定しなおしします。

まず、適当な ユーザーアカウント でCentOS6のシステムに ログイン した後、 su コマンド でユーザーアカウントを "root" に変更します。

それから、SELinuxの設定ファイル "/etc/selinux/config" を nano エディタで開きます 。

"/etc/selinux/config"の編集画面

この中で赤線で示している、

SELINUX=enforcing

を

SELINUX=disabled に修正します。

修正後の"/etc/selinux/config"

修正が終わったら、 Ctrl + x → y → Enter で設定ファイルを保存、 nano エディタを終了して "reboot" コマンド で再起動します。

システムが再起動したら、もう一度 "root" ユーザーでログインし、 "getenforce" コマンドを実行してSELinuxが無効化されていることを確認します。

以上でSELinuxの無効化が完了しました。