반응형
Security-Enhanced Linux
SELinux는 시스템의 애플리케이션, 프로세스, 파일에 대한 액세스 제어를 정의합니다.
*참고: https://www.redhat.com/ko/topics/linux/what-is-selinux , https://www.lesstif.com/ws/access-control-dac-mac-43843837.html
SELinux는 리눅스 시스템에서 MAC을 사용하는 것이다.
MAC은 아래의 내용처럼 보안 이점이 크지만 구현이 복잡하다는 단점이 있다.
| 접근통제 (Access Control) | ||
| 설명 | 디렉터리나 파일, 네트워크 소켓 같은 시스템 자원을 적절한 권한을 가진 사용자나 그룹이 접근하고 사용할 수 있게 통제하는 것 | |
| 객체 | 시스템 자원을 객체(Object)라고 함 | |
| 주체 | 자원에 접근하는 사용자나 프로세스(명령어,프로그램 등)를 주체(Subject)라고 함 | |
| 구분 | DAC (Discretionary Access Control) 임의접근통제 |
MAC (Mandatory Access Control) 강제접근통제 |
| 시스템 | 전통 UNIX, Linux 시스템에서는 DAC사용 | SELinux는 리눅스용 MAC시스템 |
| 통제방법 | 사용자나 그룹의 신분으로 제한. 객체의 소유자라면 다른 주체에 대해 이 객체에 대한 접근 권한 설정 가능. 소유자가 임의로(자신의 판단)으로 권한을 줄 수 있다. |
미리 정해진 정책과 보안등급에 의거하여 제한 주체에 정해진 접근 권한 객체에 부여된 허용 등급 소유자라고 해도 정책에 어긋나면 접근 불가 |
| 단점 | 사용자 권한을 탈취당하면 치명적 | 구현복잡, 모든 주체와 객체에 대해서 보안 등급과 허용 등급을 부여하여야 함 설정이 복잡하고 접근통제모델에 대한 관리자 이해가 중요 |
| 단점 예시 | setuid/setgid 문제 well-known port 문제 |
|
| 출처: https://www.lesstif.com/ws/access-control-dac-mac-43843837.html | ||
CentOS SELinux 설정 해제하기 - /etc/selinux/config
SELINUX=disabled
반응형
'개발 > linux' 카테고리의 다른 글
| [linux] NginX 실행 및 종료 명령어 (0) | 2023.04.11 |
|---|---|
| [linux] 리눅스 재부팅 방법 (CentOS 7) (0) | 2023.04.11 |
| [linux]사용자 계정 성능 제한 설정,최대프로세스,최대오픈파일(CentOS 7) (0) | 2023.04.11 |
| [linux]리눅스 커널네트워크 성능 변경(CentOS 7) (0) | 2023.04.11 |
| [linux]IPv6 기본 설정 해제하기 (CentOS 7) (0) | 2023.04.11 |