自宅サーバーに"SELinux"は不要

このステップでは SELinux の有効／無効の選択を行うようになっています。

"SELinux"画面1

SELinux は、比較的新しい ディストリビューション に実装されているシステムで、 LinuxOS に対して高度な セキュリティ 機能を付加します。

LinuxOSはもともと "root" という管理 アカウント によって、 OS とそのOS上で動作するすべての アプリケーション がコントロールできるように設計されています。

この仕組みは サーバー 管理者にとっては面倒がなくて良いのですが、逆に考えれば非常に危険な仕組みともいえます。

なぜなら、悪意を持った第三者に万が一 "root" アカウントによる ログイン を許してしまったら、サーバーを完全に 乗っ取られて しまうことを意味するからです。

「自分は誰かに見破られるような安易なrootのパスワードを設定したりしないよ。」

と、反論する方もいるかもしれませんが、実はそういう基本的な配慮だけでは不正進入を100%防ぎきれないという厳しい現実があります。

例えば、あるサーバーアプリケーションを "root" アカウントから デーモン として実行し、インターネット空間からのアクセスを受け付けているとします。

そして、もしもそのサーバーアプリケーションに欠陥があって、その欠陥を足がかりにその実行アカウントである "root" を制御されてしまう可能性を否定できないからです。

SELinuxはこういった問題を克服するために、サーバー上の権限をアプリケーションやファイル単位で分散させ、万が一不正進入を許しても被害を「ごく一部分に」とどめるための仕組みを提供します。

ただSELinuxはまだ過渡期の技術で、初心者レベルで確実に設定できるようなガイドラインやツール類も揃っていないため、「これからLinuxを始める」レベルのユーザーがどうにかできるほど簡単なものではありません。

また、SELinuxは強固なセキュリティを提供するものですが、少なくとも個人の公開サーバーには「過剰な」システムです。

SELinuxは、例えばたくさんの個人情報を扱うような 公開サーバー の運用を始め、「情報が漏れたらとんでもない損害を受けるかもしれない」ような場面になったときに、改めて勉強してから導入を検討しても良いと思います。

SELinuxの無効の設定

以下に、 "SELinux"の設定 の初期画面で、プルダウンメニューを開いた状態を示します。

"SELinux"画面2

デフォルト では、 SELinux設定 が Enforcing 、つまり 有効 になっています。

SELinuxにはこの Enforcing モードの他に Permissive モードがありますが。これは「SELinuxは有効にしないけれども、SELinuxで制限すべきアクセスの ログ をすべて記録する。」という振る舞いをします。

もちろんここでは前の説明のとおり、ここではプルダウンメニューから 無効 を選択して機能を停止しておきましょう。

"SELinux"画面3

設定が終わったら、 進む(E) を左クリックしてください。

ここで 無効 を選択している場合は以下のような ダイアログ が表示されます。

"SELinux"画面4

納得ずくの設定ですから、これはもちろん無視してかまいません。 進む(E) を左クリックして次の "Kdump" のステップへ進んでください。