새로운 보안 정책에 따라 RHEL 시스템의 시스템 관리자는 또는 sysadm_U역할 에 매핑되어야 하고 "일반" 사용자는 역할 staff_u에 매핑되어야 합니다 . user_u그때까지 우리는 모든 사용자가 사용했던 기본 구성을 사용했습니다 unconfined_u.
sysadmin 그룹을 sysadm_u역할에 매핑하는 작은 테스트를 실행한 후 이 사용자가 처음에는 SSH를 통해 로그인할 수 없다는 사실을 발견했습니다. SELinux 정책 소스를 자세히 살펴본 후 ssh_sysadm_login이 기능을 허용하려면 부울 값을 설정해야 한다는 사실을 발견했습니다.
또한 동일한 그룹을 역할에 매핑해 보았습니다 staff_u. 이 캐릭터는 우연히 SSH를 잘 할 수 있었는데, 우연히 SSH 포트 포워딩 작업을 수행할 수 없다는 것을 발견했습니다. 부울을 다시 찾아서 user_tcp_server문제를 해결했습니다.
그럼에도 불구하고 이 두 가지가 공통(중요) 관리 기능에 직접적인 영향을 미치기 때문에 이 변경 사항을 적용할 때 직면할 수 있는 다른 "문제"에 대해 걱정하게 됩니다. 이 변경 사항은 배포된 응용 프로그램에 영향을 미쳐 문제의 범위가 매우 광범위해질 수 있다는 점에 주목했습니다. 따라서 핵심 기능(앞서 언급한 SSH 문제 등)에 영향을 미치는 기본 운영 체제 설치에서 나타날 것으로 예상되는 영향에 대한 답변을 집중해 보겠습니다.
답변1
이 정책이 업데이트된 후 이에 관해 질문이 있는 경우:
staff_u관리자를 포함하여 상자에 SSH를 사용하는 사용자에게 할당되어야 합니다. staff_u기본적으로 sysadm_uSELinux 부울로 인해 시스템에 SSH를 설정할 수 없기 때문에 이를 할당합니다 ssh_sysadm_login.
귀하의 경우 /를 사용하는 사용자가 승격될 때 사용자와 역할을 얻을 수 /etc/sudoers있도록 다음을 추가해야 합니다 .sudosusysadm_usysadm_r
%wheel ALL=(ALL) TYPE=sysadm_t ROLE=sysadm_r ALL
이러한(및 관련) 지침의 최신 버전은 2021년 10월 27일에 릴리스된 V3R5 RHEL 7 STIG, 취약성 ID V-250312, V-250313, V-250314 및 V-204444에 있습니다.
"문제"에 관해서는 이전에 SELinux 사용자 매핑 없이 컴퓨터를 실행한 경우 서비스를 다시 시작해야 합니다. 그렇지 않으면 문제가 발생할 수 있습니다. staff_u예를 들어 앞으로 이식할 수 없는 경우가 있는데, 이는 조직마다 다릅니다. setroubleshoot-server우리는 귀하의 친구가 되어 이러한 정책을 귀하의 필요에 맞게 조정할 것입니다. 나는 또한 Gentoo 위키를 추천합니다SELinux 튜토리얼, 지금까지 읽은 것 중 최고이기 때문입니다.