AlmaLinux8 SELinux/RunLevel/SystemService

AlamaLinux8でランレベルの設定およびシステム・サービスの設定を行います。

■SELinux

デフォルトでSELinuxは有効になっておりますが、サービスに何かと弊害が起きることがあるのでこれはdisableにしておきます。

# vi /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

■ランレベル

現状のランレベルは以下のコマンドで確認できます。

# systemctl get-default
multi-user.target

multi-userということはCLIログインということになります。

GnomeなどのX Window Systemがインストールされている場合はグラフィカルログインも可能です。変更する場合は以下のようにコマンドで指定します。

# systemctl set-default graphical.target

set-defaultのあとに指定できるのは以下のものになります。

# ls -al /lib/systemd/system/runlevel*
lrwxrwxrwx. 1 root root 15  7月  1 05:57 /lib/systemd/system/runlevel0.target -> poweroff.target
lrwxrwxrwx. 1 root root 13  7月  1 05:57 /lib/systemd/system/runlevel1.target -> rescue.target
lrwxrwxrwx. 1 root root 17  7月  1 05:57 /lib/systemd/system/runlevel2.target -> multi-user.target
lrwxrwxrwx. 1 root root 17  7月  1 05:57 /lib/systemd/system/runlevel3.target -> multi-user.target
lrwxrwxrwx. 1 root root 17  7月  1 05:57 /lib/systemd/system/runlevel4.target -> multi-user.target
lrwxrwxrwx. 1 root root 16  7月  1 05:57 /lib/systemd/system/runlevel5.target -> graphical.target
lrwxrwxrwx. 1 root root 13  7月  1 05:57 /lib/systemd/system/runlevel6.target -> reboot.target

■システムサービス

minimalでインストール直後では以下のものが有効になっていました。

# systemctl list-unit-files -t service
UNIT FILE                                  STATE
auditd.service                             enabled
autovt@.service                            enabled
chrony-dnssrv@.service                     static
chrony-wait.service                        disabled
chronyd.service                            enabled
console-getty.service                      disabled
container-getty@.service                   static
cpupower.service                           disabled
crond.service                              enabled
dbus-org.fedoraproject.FirewallD1.service  enabled
dbus-org.freedesktop.hostname1.service     static
dbus-org.freedesktop.locale1.service       static
dbus-org.freedesktop.login1.service        static
dbus-org.freedesktop.nm-dispatcher.service enabled
dbus-org.freedesktop.portable1.service     static
dbus-org.freedesktop.timedate1.service     enabled
dbus.service                               static
debug-shell.service                        disabled
dnf-makecache.service                      static
dracut-cmdline.service                     static
dracut-initqueue.service                   static
dracut-mount.service                       static
dracut-pre-mount.service                   static
dracut-pre-pivot.service                   static
dracut-pre-trigger.service                 static
dracut-pre-udev.service                    static
dracut-shutdown.service                    static
ebtables.service                           disabled
emergency.service                          static
firewalld.service                          enabled
fstrim.service                             static
getty@.service                             enabled
grub-boot-indeterminate.service            static
halt-local.service                         static
import-state.service                       enabled
initrd-cleanup.service                     static
initrd-parse-etc.service                   static
initrd-switch-root.service                 static
initrd-udevadm-cleanup-db.service          static
iprdump.service                            disabled
iprinit.service                            disabled
iprupdate.service                          disabled
irqbalance.service                         enabled
kdump.service                              enabled
kmod-static-nodes.service                  static
kvm_stat.service                           disabled
ldconfig.service                           static
loadmodules.service                        enabled
man-db-cache-update.service                static
messagebus.service                         static
microcode.service                          enabled
NetworkManager-dispatcher.service          enabled
NetworkManager-wait-online.service         enabled
NetworkManager.service                     enabled
nftables.service                           disabled
nis-domainname.service                     enabled
pesign.service                             static
polkit.service                             static
quotaon.service                            static
rc-local.service                           static
rdisc.service                              disabled
rdma-load-modules@.service                 static
rdma-ndd.service                           static
rescue.service                             static
rngd-wake-threshold.service                disabled
rngd.service                               enabled
selinux-autorelabel-mark.service           enabled
selinux-autorelabel.service                static
serial-getty@.service                      disabled
sshd-keygen@.service                       disabled
sshd.service                               enabled
sshd@.service                              static
sssd-autofs.service                        indirect
sssd-kcm.service                           indirect
sssd-nss.service                           indirect
sssd-pac.service                           indirect
sssd-pam.service                           indirect
sssd-ssh.service                           indirect
sssd-sudo.service                          indirect
sssd.service                               enabled
syslog.service                             bad
system-update-cleanup.service              static
systemd-ask-password-console.service       static
systemd-ask-password-wall.service          static
systemd-backlight@.service                 static
systemd-binfmt.service                     static
systemd-coredump@.service                  static
systemd-exit.service                       static
systemd-firstboot.service                  static
systemd-fsck-root.service                  static
systemd-fsck@.service                      static
systemd-halt.service                       static
systemd-hibernate-resume@.service          static
systemd-hibernate.service                  static
systemd-hostnamed.service                  static
systemd-hwdb-update.service                static
systemd-hybrid-sleep.service               static
systemd-initctl.service                    static
systemd-journal-catalog-update.service     static
systemd-journal-flush.service              static
systemd-journald.service                   static
systemd-kexec.service                      static
systemd-localed.service                    static
systemd-logind.service                     static
systemd-machine-id-commit.service          static
systemd-modules-load.service               static
systemd-portabled.service                  static
systemd-poweroff.service                   static
systemd-quotacheck.service                 static
systemd-random-seed.service                static
systemd-reboot.service                     static
systemd-remount-fs.service                 static
systemd-resolved.service                   disabled
systemd-rfkill.service                     static
systemd-suspend-then-hibernate.service     static
systemd-suspend.service                    static
systemd-sysctl.service                     static
systemd-sysusers.service                   static
systemd-timedated.service                  masked
systemd-tmpfiles-clean.service             static
systemd-tmpfiles-setup-dev.service         static
systemd-tmpfiles-setup.service             static
systemd-udev-settle.service                static
systemd-udev-trigger.service               static
systemd-udevd.service                      static
systemd-update-done.service                static
systemd-update-utmp-runlevel.service       static
systemd-update-utmp.service                static
systemd-user-sessions.service              static
systemd-vconsole-setup.service             static
systemd-volatile-root.service              static
tcsd.service                               disabled
teamd@.service                             static
timedatex.service                          enabled
tuned.service                              enabled
unbound-anchor.service                     static
user-runtime-dir@.service                  static
user@.service                              static

不要なサービスを停止するために以下のコマンドを実行します。

systemctl disable dbus-org.freedesktop.nm-dispatcher.service
systemctl disable dbus-org.freedesktop.timedate1.service
systemctl disable import-state.service
systemctl disable irqbalance.service
systemctl disable kdump.service
systemctl disable loadmodules.service
systemctl disable microcode.service
systemctl disable nis-domainname.service
systemctl disable rngd.service
systemctl disable selinux-autorelabel-mark.service
systemctl disable rngd.service
systemctl disable sssd.service
systemctl disable tuned.service

次回からの再起動でこれらのサービスは起動しないようになります。これらのサービスの具体的な意味は次のサイトが参考になりました。

https://w7b.jp/?2020%2Fcent81_services

■systemctlコマンド

・ユニットの起動停止

※起動
systemctl start <unit>

※停止
systemctl stop <unit>

※再起動
systemctl restart <unit>

・ユニットの自動起動の設定

※自動起動の有効化
systemctl enable <unit>

※自動起動の無効化
systemctl disable <unit>

※強制終了
systemctl kill -s 9 <unit>

・ユニット状態の表示

※指定したユニットの状態表示
systemctl status <unit>

※アクティブになっているユニット一覧
systemctl 

※全てのユニット一覧
systemctl -a

※指定したタイプのユニットのみ表示
systemctl -t <unit_type>

・ユニットのその他の情報

※ユニットの一覧表示
systemctl list-unit-files

※指定したユニットの設定表示
systemctl show <unit>

※指定したユニットが稼働中か否か
systemctl is-active <unit>

※指定したユニットが有効か否か
systemctl is-enabled <unit><unit></unit>