우리는 CentOS 이미지에서 실행되는 프로그램을 개발해 왔습니다. 이 프로그램은 우리에게 매우 중요하므로 매우 안전한 환경에서 실행되어야 합니다.
그래서 저는 이를 보호하기 위해 SELinux를 사용하는 것을 고려하고 있습니다. SELinux에 대한 문서를 살펴봤지만 이해가 잘 안되는 부분이 있습니다. 맞춤형 프로그램을 위해 특정 새 모듈을 만들어야 합니까, 아니면 기존 모듈 중 하나를 사용할 수 있습니까?
답변1
프로그램에 대한 SELinux 정책 모듈을 만들 수 있습니다. 다른 프로그램, 다른 구성 파일, 다른 데이터 파일 등에 대한 경로를 언급하기 때문에 기존 모듈을 사용할 수는 없습니다. 그러나 기존 모듈을 가져와 비슷한 요구 사항이 있는 프로그램에 맞게 조정할 수 있습니다. 다른 이름을 사용하면 SELinux가 격리하므로 모든 유형, 속성 등의 이름을 변경하는 것을 잊지 마십시오.
귀하의 질문 내용을 보면 SELinux의 작동 방식을 이해하고 있는지 잘 모르겠습니다. 프로그램에 대해 SELinux 모듈을 정의하면 주로 프로그램이 제한됩니다. 이는 프로그램으로부터 시스템의 나머지 부분을 보호하는 것이지 그 반대는 아닙니다. 다른 프로그램에 적용되는 SELinux 규칙은 프로그램 자산을 보호합니다. 정책 모듈은 프로그램에 제한적인 컨텍스트를 할당하므로 프로그램을 보호합니다.자산(구성 및 데이터 파일).