SELinux は、Linux ファイルシステム内のネイティブファイルおよびディレクトリの読み取り/書き込み/実行権限の上で動作するセキュリティメカニズムです。多くの Linux ディストリビューションで利用可能で、最新の RHELRed Hat Enterprise Linuxおよび Fedora ディストリビューションにデフォルトでインストールされます。

SELinux によって、実行しているソフトウェアのインストールや操作が妨げられる可能性があるため、適切なポリシーファイルを作成していることを確認してください。   

お客様のセキュリティチームに相談して、APM の適切なアクセスレベルを確認してください。 

SELinux を使用すると、アクセスおよび実行に関する制限をさらに細かく設定できます。この制御は「ポリシーファイル」に示され、通常は組織内の SecOps チームによって作成および管理されます。SELinux の詳細については、https://selinuxproject.org/page/Main_Page を参照してください。

ポリシーファイルは、デフォルトでは /etc/sestatus.conf にあります。 システムに SELinux が存在するかどうかを確認するには、アクティブである場合に文字列 Enforcing  を返す getenforce  コマンドを実行します。

または、次のコマンドを実行することもできます。

sestatus

次の出力を生成します。

SELinux status: enabled
SELinuxfs mount: /selinux
Current Mode: permissive
Policy version: 16
sestatus
CODE

SELinux statusdisabled の場合は、システムにパッケージがインストールされていないことを示します。ただし、返されたステータスが enabled で、Current Modepermissive の場合は、SELinux ポリシーファイルは適用されません。APM エージェントをインストールしてテストする場合:

  • モードを permissive に設定して、有効にします
  • SELinux のガイドラインに従って、問題のエージェントに適切なポリシーステートメントを作成します

ポリシーファイルをカスタマイズする方法の詳細については、https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/5/html/deployment_guide/sec-sel-policy-customizing を参照してください。

SELinux を有効にするには、コマンド setenforce 1 を使用し、enforcing モードを有効にします。SELinux を無効にするには、setenforce 0 (つまり permissive モード)を使用します。

SELinux の有効化と無効化に関する詳細については、https://docs.fedoraproject.org/en-US/Fedora/11/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-Enabling_and_Disabling_SELinux.html を参照してください。