RHCSA : 보안 관리 – SELinux에 대한 강제(enforcing) 및 허용(permissive) 모드 설정

RHCSA 주제입니다. CertDepot 사이트를 번역 및 내용 추가하였으며, 컨텐츠 관련 모든 권리는 CertDepot에 있습니다.

시작하기 전에

SELinuxSecurity-Enhanced Linux를 뜻한다. 서버 보안을 향상시키기 위한 방법 중 하나이다.

/etc/selinux/config 파일에는 현재 설정이 저장되어 있다.

[root@server2 ~]# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted 


[root@server2 ~]# 

앞의 파일에 잘 설명되어 있는 것처럼, SELinuxenforcing, permissive, disabled라는 3가지의 서로 다른 모드가 있다. 모드들과 더불어 SELinux의 서로 다른 타입(targeted, minimum, mls)들이 있다. 군사 환경을 제외하고는 targeted 타입을 변경할 일이 아마도 없을 것이다.

설정

1. SELinux 상태를 얻기 위해서는 다음과 같이 입력한다.
[root@server2 ~]# sestatus 
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28
[root@server2 ~]# 
2. enforcing 모드로 설정하기 위해서는 다음과 같이 입력한다(permissive옵션도 동일하다).
[root@server2 ~]# setenforce enforcing
[root@server2 ~]# 
3. 이 변경사항을 영구적으로 하기 위해서는, /etc/sysconfig/selinux파일(또는 /etc/selinux/config파일)을 다음 값으로 변경하면 된다(permissive옵션도 동일하다).
[root@server2 ~]# vim /etc/sysconfig/selinux 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted


~                                                                               
~                                                                               
~                                                                               
~                                                                               
~                                                                               
~                                                                               
~                                                                               
~                                                                               
"/etc/sysconfig/selinux" 14L, 547C                            1,0-1        모두
[root@server2 ~]# 
4. 설정을 변경하기 위해서 반드시 재부팅을 하도록 하려면(주의하여 -P 옵션을 붙일 수도 있다) 다음과 같이 입력한다.
[root@server2 ~]# setsebool secure_mode_policyload on
[root@server2 ~]# 

추가 자료

at4am의 프로필 이미지

at4am

2016년 04월 29일

글쓴이의 더 많은 글 읽어보기