SELinux(Security-Enhanced Linux)

안녕하세요!

오늘은 대하여 알아보겠습니다.

 

 

 

 

SELinux란?

SELinux는 리눅스의 운영체제 보안을 강화하기 위해 설계된 보안 아키텍처입니다. 미국 국가안보국(NSA)과 오픈소스 커뮤니티가 공동으로 개발했으며, 기본 목적은 손상된 시스템 서비스로부터 사용자 데이터를 보호하는 것입니다. SELinux는 보안 정책을 통해 시스템에서 프로세스 및 사용자의 권한을 세밀하게 제어합니다.

 

 

강제적 접근 제어(Mandatory Access Control, MAC)

1. 전통적인 리눅스 시스템은 임의적 접근 제어(Discretionary Access Control, DAC)를 사용합니다. 사용자는 자신이 소유한 파일에 대한 권한을 설정할 수 있습니다.
2. SELinux는 MAC를 사용하여 시스템 관리자가 정의한 보안 정책에 따라 모든 프로세스와 파일에 대한 접근을 제어합니다. 이는 프로세스가 운영 체제의 중요한 부분에 무단으로 접근하는 것을 방지합니다.

 

 

SELinux 레이블

• SELinux는 어느 프로세스가 어느 파일, 디렉터리, 포트에 액세스 할 수 있는지 결정하는 보안 규칙의 집합입니다.
• 모든 파일, 프로세스, 디렉토리, 포트는 SELinux 컨텍스트라는 특별 보안 레이블이 있습니다. 명시적 규칙에서 액세스를 허용하지 않은 이상 어떤 상호 작용도 허용되지 않습니다.

 

 

SELinux 모드

• 강제 모드(Enforcing) : SELinux 정책이 활성화되어 모든 접근제어가 강제로 적용
• 허용 모드(Permissive) : 정책 위반 사항을 로그로 기록하지만, 차단하지 않으며 시스템 테스트 및 디버깅에 유용
• 비활성화(Disabled) : SELinux 비활성화

 

 

 

SELinux 컨텍스트 

SELinux 컨텍스트는 SELinux 보안 정책의 핵심 구성 요소로, 파일, 프로세스, 사용자 등의 보안 속성으로 정의합니다. 일반적으로 User(사용자), Role(역할), Type(파일이나 프로세스 타입) 세 부분으로 구성됩니다.

Ls -Z : 파일 또는 디렉터리의 SELinux 컨텍스트 확인 Id -Z : 현재 사용자의 SELinux 컨텍스트 확인 Ps -Z : 실행 중인 프로세의 SELinux 컨텍스트 확인 Chcon : 파일이나 디렉터리의 SELinux 컨텍스트 일시 변경 Restorecon :  파일이나 디렉터리의 SELinux 컨텍스트를 기본값으로 복원

 

이상입니다.

감사합니다!