[Linux/리눅스] 06. SELinux , Enforcing , Permissive
SELinux (Security Enhanced Linux) 활성화 및 모니터링
SELinux 보안
SELinux Mode
- 문제 해결을 위해 SELinux 모드를 사용하여 SELinux 보호를 일시적으로 비활성화 할 수 있다.
1. SELinux Enforcing
- 강제 모드에서는 컨텍스트를 사용하여 파일을 읽으려고 하는 웹 서버의 액세스를 거부한다.
강제 모드에서 SELinux 는 로그와 보호를 모두 수행한다.
2. SELinux Permissive
- 허용 모드는 문제 해결에 주로 사용된다.
명시적 규칙이 없는 경우에도 SELinux 에서 모든 상호 작용을 허용한다.
강제 모드에서 거부할 상호 작용을 로깅한다.
제한하고 있는 콘텐츠에 대한 액세스를 일시적으로 허용한다.
강제에서 허용으로 변경할시 재부팅 하지 않아도 된다.
3. SELinux Disabled
- 비활성화 모드
강제 모드/허용 모드로 변경시에는 재부팅이 필요하다.
현재 적용된 SELinux Mode 를 확인하기 위해서는 getenforce 명령을 사용한다.
SELinux Bool
- SELinux bool 은 SELinux 정책의 동작을 변경하는 스위치 이다.
- 보안 관리자는 이것을 사용하여 정책을 조정하고 선택적으로 조정할 수 있다.
- getsebool 명령은 SELinux Bool 및 해당 현재 값을 확인 할 수 있다.
- getsebool -a
~ |
SELinux Mode Change
현재 SELinux 모드 변경
- 재부팅 시에는 적용이 되지 않는다.
기본 SELinux 모드 설정
- 부팅 할때 SELinux 모드를 결정하는 설정 파일은 /etc/selinux/config 에 존재한다.
- 부팅 할때 SELinux 모드를 변경하려면 /etc/selinux/config 에서
SELINUX=enforcing 부분을 permissive 로 변경하면 된다. 반대도 마찬가지!!
|
SELinux 컨텍스트 변경
- 컨텍스트 : 파일 각각 설정되어있는 레이블
초기 SELinux 컨텍스트
- object_r : 역할
- admin_home_t : 타입
- s0 : 보안 레벨
파일의 SELinux 컨텍스트 수정
SELinux Bool 변경
SELinux Bool