高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
はじめに
getenforce は Linux のセキュリティ機能である SELinux の現在の動作モードを返す基本的なコマンドです。SELinux はファイルやプロセスがどう動くかを厳しく決め、システムのセキュリティを高めます。getenforce を使うと今このシステムがどのモードで動いているかを一目で確認できます。
SELinux には主に三つのモードがあります。Enforcing は「強制」モードで、ポリシーに違反する動作を実際にブロックします。Permissive は「監視」モードで、違反した動作を記録しますがブロックはしません。Disabled は SELinux 自体を無効にします。モードの違いはセキュリティの強さとシステムの挙動に大きく影響します。
getenforce の使い方
端末のコマンドラインで次のように入力します。getenforce。実行すると現在のモードが一語で返ってきます。例として Enforcing、Permissive、Disabled のいずれかが返されます。
もしより詳しい情報を知りたい場合は、sestatus という別のコマンドも使います。sestatus は現在のモードだけでなくポリシーの状態や関連ファイルの場所などの詳細を表示します。
モードを変える方法
現在のセキュリティモードを一時的に変更するには、root 権限で次のコマンドを使います。sudo setenforce 0 を実行すると Permissive(監視モード)になります。sudo setenforce 1 を実行すると Enforcing(強制モード)に戻ります。
恒久的にモードを変更したい場合は設定ファイルを編集します。 /etc/selinux/config を開き、SELINUX の値を enforcing、permissive、または disabled のいずれかに設定します。その後システムを再起動するか、再起動後に反映されることを確認してください。
よくある注意点
SELinux は強力なセキュリティ機能ですが、設定を誤ると正しく動かなくなることがあります。特に setenforce の変更は慎重に行い、必要なポリシーが適用されているかどうかを確認しましょう。新しいソフトウェアを導入したときは、ログを確認して不具合の原因が SELinux にあるかどうかを判別する手助けとして audit2why などのツールを使うとよいです。
モード別の要点表
| モード | 意味 |
|---|---|
| Enforcing | ポリシーが厳格に適用され、違反はブロックされログにも記録されます。 |
| Permissive | 違反をブロックせず、ログに記録します。原因を調査するのに便利です。 |
| Disabled | SELinux 自体が無効。セキュリティ機能が大きく弱くなります。 |
まとめ
getenforce は SELinux の現在のモードを知る最も簡単な方法です。モードを変えるには setenforce で一時的な変更、/etc/selinux/config で恒久的な変更が可能です。初心者はまず Enforcing と Permissive の違いを理解し、システムの挙動をログで確認しながら慎重に設定を進めましょう。
getenforceの同意語
- getenforce
- SELinuxの現在の動作モードを表示するコマンド。出力は Enforcing / Permissive / Disabled のいずれかです。
- SELinuxモードの現在値表示
- 現在のSELinuxモードを確認・表示することを指す表現。モードを知るための操作を意味します。
- 現在のSELinuxモード
- 現在設定されているSELinuxの動作モードそのものを示す用語。
- SELinux動作モード確認コマンド
- SELinuxが現在どのモードで動作しているかを確認するためのコマンドという意味。
- SELinuxモード取得コマンド
- SELinuxモードを取得する機能を指す表現。
- SELinuxモードの現在値取得
- 現在のSELinuxモードの値を取得する操作を表します。
- SELinuxステータスモード表示
- SELinuxのステータス情報のうち、モード情報を表示することを表す表現。
- SELinux動作状態表示
- SELinuxの動作状態(モード)を表示することを指す表現。
- SELinuxモードを確認するコマンド
- SELinuxのモードを確認するためのコマンドという意味。
getenforceの対義語・反対語
- Permissive
- SELinuxのポリシーが緩く適用され、違反は拒否されずにログに記録される状態。実質的には「許容モード」です。
- Enforcing
- SELinuxのポリシーが厳格に適用され、許可されていないアクセスは即座に拒否される状態。
- Disabled
- SELinuxが無効化され、ポリシーによるアクセス制御が全く機能していない状態。
- Enabled
- SELinuxが有効になっている状態。現在のモードはEnforcingまたはPermissiveのいずれかで運用されていることを指します。
getenforceの共起語
- SELinux
- Security-Enhanced Linux。Linuxのアクセス制御を強化するセキュリティ機能。
- enforcing
- SELinuxのモードの一つ。ポリシーを厳密に適用する状態。
- permissive
- 許容モード。違反をログに記録するが、実際にはアクセスを拒否しない状態。
- disabled
- SELinuxを無効化した状態。機能が停止している状態。
- setenforce
- 一時的にSELinuxのモードを切り替えるコマンド。
- sestatus
- SELinuxの現在の状態・モード・ポリシーの情報を表示するコマンド。
- getsebool
- SELinuxブール値を表示するコマンド。
- setsebool
- SELinuxブール値を変更するコマンド。
- SELinuxポリシー
- SELinuxのルールセット。どの操作を許可・拒否するかを定義する。
- SELinuxブール値
- 細かな機能の有効化・無効化を切り替える設定項目(例: httpd_can_network_connect など)。
- ターゲットポリシー
- 主要なデーモンへ焦点を当てた、一般的なSELinuxポリシーの一種。
- 監査ログ
- SELinux関連の拒否やイベントを記録する監査機能。
- セキュリティコンテキスト
- ファイルやプロセスに付与される、SELinuxの属性情報。
- 拒否イベント
- SELinuxが拒否したアクセスの記録・通知対象となる動作の総称。
getenforceの関連用語
- getenforce
- SELinuxの現在の動作モードを表示するコマンド。Enforcing、Permissive、Disabled のいずれかを返します。
- setenforce
- ランタイムでSELinuxのモードを切り替えるコマンド。setenforce 1 でEnforcing、setenforce 0 でPermissiveになります。
- sestatus
- 現在のSELinuxの状態を詳細に表示するコマンド。モード、ポリシー名、適用状況などを確認できます。
- SELinux
- Security-Enhanced Linuxの略。Linuxカーネルとポリシーでアクセス制御を強化する仕組みです。
- Enforcing
- SELinuxのモードのひとつ。ポリシーを厳格に適用して、許可されていない動作を実際に拒否します。
- Permissive
- SELinuxのモードのひとつ。拒否はせず、違反をログに記録するだけでデバッグに役立ちます。
- Disabled
- SELinuxを無効化するモード。アクセス制御は機能しなくなります。
- /etc/selinux/config
- ブート時にSELinuxをどう動かすかを設定する設定ファイル。SELINUX= enforcing|permissive|disabled の形式で記述します。
- policy
- SELinuxが使うルールの集合。ファイルやプロセスのアクセスを決定します。
- Targeted policy
- 多くのディストリビューションでデフォルト採用されているポリシー。主要なサービスを保護対象として限定的に制御します。
- SELinux context
- ファイルやプロセスに付与されるラベル。user:role:type:level の形式で、ポリシーが権限判断に使用します。
- SELinux boolean
- ポリシーの挙動を細かく切替えるスイッチ。setsebool で有効/無効化します。
- semanage
- SELinux の設定を管理するツール。ファイルコンテキスト、ブール値、ポートなどを永続的に設定します。
- audit2why
- AVC拒否の原因を人間にわかりやすく説明するツールです。
- audit2allow
- 拒否を許可するポリシーモジュールを自動的に生成するツール。追加前に必ず検証が必要です。
- AVC denial
- Access Vector Cache による拒否。SELinuxがポリシー違反としてログに記録する事象です。
- auditd
- Linuxの監査デーモン。SELinuxの拒否などのイベントを永続的に記録します。
- policycoreutils
- getenforceやsestatusなど、SELinux管理に必要な基本ツールを含むパッケージ群です。
- libselinux
- SELinuxの機能を提供するライブラリ。多くのツールがこのライブラリを利用します。
- semodule
- SELinuxポリシーモジュールを管理するツール。モジュールの追加・削除・一覧表示を行います。
- SELinux policy module
- ポリシーを拡張・追加するモジュール。セキュリティルールを個別に追加可能です。
- sesearch
- ポリシーの中で許可されている権限を検索するツール。特定のドメインやタイプの権限を調べるのに便利です。
- chcon
- ファイルのセキュリティコンテキストを一時的に変更するコマンド。移動中のファイルなどで使われます。
- restorecon
- ファイルやディレクトリのデフォルトコンテキストをポリシーに基づいて再適用します。
- fcontext
- ファイルパスとそのデフォルトコンテキストのマッピングを定義する設定。restoreconやsemanage fcontextで管理します。
- labeling
- ファイルやプロセスに正しいセキュリティラベルを付与し、ポリシーに沿ったアクセス制御を可能にする作業全般です。
- kernel boot parameter 'selinux=1/0'
- ブート時にSELinuxを有効化/無効化する設定。selinux=1 で有効、selinux=0 で無効になります。
getenforceのおすすめ参考サイト
インターネット・コンピュータの人気記事
