젠투에서 Gnome 키링을 설치하는 동안 커널 문서에 설명되어 있는 EXT4 보안 탭을 켜라는 지시를 받았습니다:
보안 레이블은 SELinux와 같은 보안 모듈에 의해 구현되는 대체 액세스 제어 모델을 지원합니다. 이 옵션은 ext4 파일 시스템의 파일 보안 레이블에 대한 확장된 속성 처리기를 활성화합니다.
문서는 ext4 파일 시스템에 대한 보안 레이블을 활성화하는 속성 핸들러를 활성화한다는 것을 이제 이해하므로 별로 도움이 되지 않았습니다. 함수 이름에서 이를 유추할 수 있습니다. 그 라벨은 무엇입니까? 보안을 어떻게 향상시키나요?
답변1
안전 라벨은 지침입니다.SELinux그 일을 해야 합니다. 파일 권한 및 소유권에 대한 매우 광범위한 일반화라고 생각하십시오. 보안을 향상시키는 것은 보안 레이블 자체가 아니라 SELinux입니다.
보안 레이블은 파일과 연결된 메타데이터입니다. 그들은 형태를 가지고 있습니다 user:role:type[:level[:category]]. 비교를 위해 기존 Unix 권한의 형식은 다음과 같습니다 user:group rwxrwxrwx. 파일의 보안 레이블은 SELinux 컨텍스트를 지정합니다.
- SELinux 사용자는 다양한 시스템 구성요소에 해당하며 다양한 권한을 가질 수 있습니다. 이는 Linux 시스템 사용자에 해당할 수 있지만 이는 주로 시스템 사용자의 경우입니다. 모든 실제 사용자는 일반적으로 단일 SELinux 사용자 아래에 함께 포함됩니다.
- 역할은 특정 유형의 사용자가 수행할 수 있는 작업 유형에 해당합니다. 그들은 구현하는 데 사용됩니다역할 기반 액세스 제어.
- 유형은 액세스가 제한된 특정 작업이나 리소스(또는 그 컬렉션)에 해당합니다.
- 레벨 구현다단계 보안.
- 카테고리 구현다중 카테고리 보안.
실행 중인 프로세스에는 실행 파일의 보안 레이블과 호출자의 컨텍스트를 기반으로 계산되는 보안 컨텍스트가 있습니다. 파일에는 보안 레이블을 기반으로 계산된 보안 컨텍스트도 있습니다. 주체(프로세스)가 객체(파일)에 액세스하려고 하면 커널은 SELinux 정책이 주체의 컨텍스트에서 객체에 액세스하도록 허용하는지 확인합니다.
추가 보안을 제공하는 것은 고사하고 실제로 시스템을 실행할 수 있게 하려는 경우 SELinux 정책을 작성하는 것은 매우 복잡합니다. 이것이 바로 많은 Linux 시스템이 강제 모드에서 SELinux를 사용하지 않는 이유입니다.
자세한 내용은 다음을 참조하세요.
- 이것SELinux 프로젝트 페이지특히보안 컨텍스트페이지
- 이것젠투 SELinux 매뉴얼특히SELinux 개념
- 보안 컨텍스트페도라 위키피디아에서
- 파일 시스템 보안 컨텍스트RHEL SELinux 가이드에서