프로덕션에서 경량 SELinux 정책 실행

프로덕션에서 경량 SELinux 정책 실행

저는 Linux 프로세스 그룹을 제한하는 SELinux의 기능을 활용하고 싶습니다. 이 그룹은 UID가 충분히 높은(예: >1000) 권한이 없는 사용자입니다. 저는 다양한 클라이언트가 PHP 스크립트를 실행하는 공유 호스팅 서버에서 이 작업을 수행하고 싶습니다. 현재 SELinux는 꺼져 있습니다.

좀 더 구체적으로 내가 원하는 것은심볼릭 링크 생성 비활성화심볼릭 링크와 관련된 다양한 공격으로 인해 다른 유사한 규칙이 있을 수 있습니다. 예를 참조하세요.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux+symlink+race

나는 SELinux의 이러한 사용이 기본 정책의 규칙을 사용하여 가능하다고 생각합니다. 이는 (의사 코드)와 같은 간단한 규칙입니다.

"allow everything that SELinux Off does"
neverallow $source_type $target_type : lnk_file write;

어디소스 유형그리고대상 유형어떻게든 Unix 사용자를 위한 대상 그룹이 지정됩니다(틀렸다면 죄송합니다. 아직 SELinux에 익숙하지 않습니다).

그러나 이것이 내가 SELinux에서 수행하길 원하는 유일한 작업입니다.

저는 Redhat이나 다른 Linux 배포판에서 배포한 전체 기본 정책을 사용하고 싶지 않습니다. 왜냐하면 이는 매우 제한적이고 현재 실행 중인 애플리케이션에 많은 문제를 일으킬 수 있기 때문입니다.

이러한 허용 정책 하에서 SELinux를 실행하는 데 문제가 있습니까? 또는 이 제한 사항을 구현하는 데 선호되는 다른 방법이 있습니까?

관련 정보