SELinux/ko

From Gentoo Wiki
Jump to: navigation, search


SELinux는 사용자의 행동 가능 여부를 보안 관리자가 정의할 수 있게 세밀한 접근 제어 매커니즘을 다룰 수 있는 필수적 접근 제어 시스템입니다. 리눅스에 존재하는 표준 자유 재량 접근 제어 방식(최종 사용자가 공유하면 안되는 파일까지 공유하거나 심지어 그 파일에 쓰기 접근 권한까지 줄 수 있다는 의미)과는 달리, 필수 접근 제어 시스템에서는 보안 정책상 완벽한 통제를 수행합니다.

표준 자유 재량 접근 제어 시스템(DAC시스템에서는 활동을 허용한 경우안지 검사하고, SELinux는 활동을 요청함)과 나란히 동작하는 SELinux는 도메인이라고 하는 내부에서 프로세스를 실행합니다. 권한은 다른 리소스(프로세스, 다른 도메인, 파일, 소켓, 가용성, 파일 컨텍스트, 세마포어, 메시지 등)와의 상호 작용을 허용할지 여부를 정의하는 도메인 별로 할당합니다.

젠투 지원

젠투 프로젝트에서 SELinux는 보안 강화 프로파일(보안 강화 툴체인을 사용하지 않고도 SELinux를 사용할 수 있습니다)의 사용이 필요한 것은 아니지만서도 젠투 보안 강화 프로젝트를 통해 지원합니다.

젠투 보안 강화 SELinux 자원

SELinux에 해야 할 일에 따라 사용자 및 개발자를 지원할 자원 목록이며, 젠투 보안 강화 프로젝트의 SELinux 하위 프로젝트 개발자를 통해 관리합니다.

젠투 보안 강화 프로젝트에 SELinux 지원 관련 기여에 관심있을 여러분들을 위해 개발 관련 문서도 준비되어 있습니다.

SELinux 정책 모듈

SELinux는 정책에 대해 모듈화 접근 방식을 활용합니다. SELinux 모듈에 추가 권한이 정의되어 있는데 반해, 핵심 권한은 "기반" 정책 내에 포함되어 있습니다. semodule -l 명령을 통해 현재 불러온 SELinux 모듈이 어떤것이 있는지 확인해볼 수 있습니다. 정책 모듈에 정의(모듈이 제공하는 도메인은 무엇인지 어떤 자원에 레이블을 부여하고, 어떻게 레이블을 부여해야 하는지)를 포함한 바와 같이, 권한(어떤 상호작용을 허용하는지), 추가 권한(어떤 권한을 SELinux 부울린 값으로 동작하게 하는지), 그리고 그 밖의 권한 요소는 모듈의 명세에 대한 정교한 문서화로 보증합니다.

아래에 모듈을 문서로 정리한 목록이 있습니다.

  • 아파치 는 아파치나 lighttpd와 같은 웹 서버를 지원하는 SELinux 모듈입니다
  • bind 는 named 도메인 서버를 지원하는 SELinux 모듈입니다
  • 크로미엄 은 크로미엄 브라우저를 지원하는 SELinux 모듈입니다
  • 크론 은 다양한 크론(vixie-cron) 영역을 지원하는 SELinux 모듈입니다
  • ldap 는 OpenLDAP용 SELinux 모듈입니다
  • portage 젠투 포티지와 포티지 관련 도구(gcc-config, eselect 등) 지원을 제공하는 SELinux 모듈입니다