RHEL9での変更点（セキュリティ編：Part1 SELinuxの無効化について） - SIOS SECURITY BLOG

SELinuxの変更SELinuxに関しては、主な変更点として SELinuxで/etc/selinux/configで「selinux=disabled」が効かなくなる(ハングすることがあります)パフォーマンスの向上が挙げられています。今回は一番最初の「selinux=disabled」が使えなくなる（システムがハングすることがある）というのを見ていきたいと思います。 当たり前ですが、筆者の見解/立場ではSELinuxは無効化するべきでは無いので、無効化する前に「待て、考え直せ」とは言いたいです。 SELinuxを無効にしたときのハングアップまずは事象を見てみたいと思います。/etc/selinux/configで SELINUX=enforcing を SELINUX=disabled に設定し、再起動を行います。すると（タイミングの問題だと思いますが）下記のようにブート中にシステムが

[hogege]

SELinuxの無効化の方法が変わった。そのうち無効化できなくするよって感じらしい。“SELinuxを無効化にしたいという場合には「bootパラメータで"selinux=0"を付けてください」”

[tmatsuu]

ishikawaさんゴメンナサイするな。待て、考え直せ。考え直してどうしてもダメならishikawaさんゴメンナサイ。

[lorenz_sys]

似たような話なんだけど Rocky8.5 の検証した時 SELINUX は当初無効だったので /etc/selinux/config を SELINUX=enforcing に更新してOS再起動すると100%ハングする問題に直面した。少々面倒な方法で回避したが直接書き換えはダメっぽい。

[urandom]

RHEL9では/etc/selinux/configでselinux=disabledにするのでは問題が出るので、bootパラメータにselinux=0を付けるべきと。ただしそもそもSELinux（のような強制アクセス制御）を安易に無効化してはいけないのは著者が再三指摘する通り。

[nezuku]

安易に無効化するユーザへの牽制的な仕様変更な感じもする。RHELを使うような用途ならば無効にしないでしょ、感も