`enforcing` 모드로 변경

enforcing 모드에서 SELinux를 실행하면 SELinux 유틸리티가 구성 정책을 enforcing합니다. SELinux는 정책의 규칙에 따라 액세스를 허용하거나 거부하여 일부 애플리케이션의 기능을 제어합니다.

현재 SELinux 모드를 찾으려면 getenforce 명령을 실행합니다.


getenforce
Permissive

구성 파일을 수정하여 `enforcing` 모드를 활성화합니다.

다음 단계에 따라 모드를 enforcing으로 변경할 수 있습니다.

/etc/selinux/config 파일을 수정하면 enforcing 모드로 변경됩니다. SELINUX 설정은 다음 예제와 같은 모습이어야 합니다.
```
SELINUX=enforcing
```
시스템을 재시작하여 enforcing 모드 변경을 완료하세요.
```
$ sudo reboot
```

다음 부팅 시 SELinux는 시스템의 모든 파일 및 디렉터리에 레이블을 다시 지정합니다. SELinux는 SELinux가 disabled일 때 생성된 파일 및 디렉터리에 대한 SELinux 컨텍스트도 추가합니다.

enforcing 모드로 변경한 후 SELinux는 SELinux 정책 규칙이 잘못되었거나 누락되어 일부 작업을 거부할 수 있습니다. 다음 명령을 사용하여 SELinux가 거부한 작업을 볼 수 있습니다.


$ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

또는 인스턴스를 실행할 때 다음 cloud-config을 사용자 데이터로 전송하여 enforcing 모드를 사용할 수 있습니다.


#cloud-config
selinux: 
  mode: enforcing

이렇게 설정하면 인스턴스가 재부팅됩니다. 안정성을 높이려면 인스턴스를 재부팅하는 것이 좋습니다. 하지만 다음 cloud-config를 입력하면 재부팅을 건너뛸 수 있습니다.


#cloud-config
selinux:
  mode: enforcing
  selinux_no_reboot: 1

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

AL2023의 기본 SELinux 상태 및 모드

SELinux 비활성화 옵션