Linux SELinux

좀 더 system을 안전하게 사용

보안적인 설정

작업을 하는데 있어서 사용자 기준으로 해서 접근할 수 있는 권한이 있느냐

사용자가 프로세스를 실행했을때 도구에 의해 작업을 하려고한다

사용자에 따라 파일을 접근 할수있다없다.

특정파일마다 규칙을 정해두고

특정 중요한 파일에 프로세스가 접근하지 못하게

접근제어를 추가해줌

파일에 대한 접근 시 사용자 이름 뿐만 아니라 +파일에 컨텍스트와 일치하는 프로세스만 접근을 허용

 

 

 

동작 모드

- 활성화 여부

enforcing 앞으로 사용한 규칙들 사용하겠다

permissive 허락은 하지만 기록남기는것

 

동작모드 변경

영구적으로 동작모드 변경

 

컨텍스트

-각각의 파일마다 디렉토리에 대해 접근제어

설정하는법

semanage fcontext -a -t "컨텍스트"  "디렉토리(/.*)?" : 기본값 변경

 

u사용자 컨텍스트 r역할 컨텍스트 t유형 컨텍스트

chcon 파일에있는 컨텍스트를 임시로 바꾸는것(런타임설정과 유사) 일반적으로 사용하지 않는것이좋다

restorecon reload와 비슷

restorecin -RFv "디렉토리" :해당디렉토리와 그 하위 컨텍스트를 기본값으로 설정

 

 

 

부울 - 컨텍스트의 유형이 맞지 않더라도 필요한 동작이 있을때 동작 단위로 제어

          서비스 동작 별 제어

부울의 이름/ 현재 상태 /영구설정상태/설명

포트 - 네크워크로 접근하는 서비스에 대해서 특정 네트워크 포트를 어떤 서비스 용도로 사용할것인지 정해주는것

포트에 대한 레이블 설정

semanage port -a -t "LABEL" PORT -p TCP/UDP : 특정 포트번호에 이름 부여