RHCSA : 보안 관리 – 부울 설정을 사용하여 시스템 SELinux 설정 수정

RHCSA 주제입니다. CertDepot 사이트를 번역 및 내용 추가하였으며, 컨텐츠 관련 모든 권리는 CertDepot에 있습니다.

시작하기 전에

일반적인 관리

1. 특정 내용(여기서는 ftp)에 대한 SELinux 부불 변수를 보려면 다음과 같이 입력한다.
[root@server2 /]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
sftpd_write_ssh_home --> off
tftp_anon_write --> off
tftp_home_dir --> off
[root@server2 /]# 
2-1. 필요에 의해(여기서는 ftp_home_dir) SELinux 부울 변수를 정의한다면 다음과 같이 입력한다.
[root@server2 /]# setsebool -P ftp_home_dir on
[root@server2 /]# 
2-2. 또는 다음과 같이 입력한다.
[root@server2 /]# yum install -y setroubleshoot-server
Loaded plugins: fastestmirror, langpacks
RHELREPO                                                        | 3.6 kB  00:00:00     
Loading mirror speeds from cached hostfile
Package setroubleshoot-server-3.2.17-2.el7.x86_64 already installed and latest version
Nothing to do
[root@server2 /]# semanage boolean -m --on ftp_home_dir
[root@server2 /]# 

노트1: setsebool 커맨드를 사용할 때, on1, off0은 같은 의미이다. 노트2: -P 옵션은 영구적인 옵션을 의미한다. 만약에 사용하지 않는다면 다음 부팅때는 원래 설정이나 기본 설정으로 돌아올 것이다. 노트3: semanage 부울 커맨드는 영구적인 설정만 정의할 수 있다.

3. 더 많은 SELinux 부울 변수들을 보려면 다음과 같이 입력한다.
[root@server2 /]# yum install -y setroubleshoot-server
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
Package setroubleshoot-server-3.2.17-2.el7.x86_64 already installed and latest version
Nothing to do
[root@server2 /]# semanage boolean -l
SELinux 부울                     상태   디폴트  설명 

ftp_home_dir                   (활성   ,  활성 )  Allow ftp to home dir
smartmon_3ware                 (비활성  , 비활성 )  Allow smartmon to 3ware
mpd_enable_homedirs            (비활성  , 비활성 )  Allow mpd to enable homedirs
xdm_sysadm_login               (비활성  , 비활성 )  Allow xdm to sysadm login
xen_use_nfs                    (비활성  , 비활성 )  Allow xen to use nfs
mozilla_read_content           (비활성  , 비활성 )  Allow mozilla to read content
...
ssh_sysadm_login               (비활성  , 비활성 )  Allow ssh to sysadm login
domain_fd_use                  (활성   ,  활성 )  Allow domain to fd use
virt_use_samba                 (비활성  , 비활성 )  Allow virt to use samba
cluster_use_execmem            (비활성  , 비활성 )  Allow cluster to use execmem
nfs_export_all_ro              (활성   ,  활성 )  Allow nfs to export all ro
cron_can_relabel               (비활성  , 비활성 )  Allow cron to can relabel
sftpd_anon_write               (비활성  , 비활성 )  Allow sftpd to anon write
[root@server2 /]# 

중요 노트: 상태 열은 현재 부울 설정을 나타낸다. 디폴트 열은 영구적인 부울 설정을 나타낸다.

4. SELinux 부울 변수 중 기본 값과 현재 값이 다른 경우만을 출력하려면 다음과 같이 입력한다(여기서 -C 는 로컬 사용자화를 의미한다).
[root@server2 /]# semanage boolean -l -C
[root@server2 /]#
5. NFS와 관련된 SELinux 부울 변수만을 보려면 다음과 같이 입력한다.
[root@server2 /]# semanage boolean -l | egrep "nfs|SELinux"
SELinux 부울                     상태   디폴트  설명 
xen_use_nfs                    (비활성  , 비활성 )  Allow xen to use nfs
virt_use_nfs                   (비활성  , 비활성 )  Allow virt to use nfs
mpd_use_nfs                    (비활성  , 비활성 )  Allow mpd to use nfs
nfsd_anon_write                (비활성  , 비활성 )  Allow nfsd to anon write
ksmtuned_use_nfs               (비활성  , 비활성 )  Allow ksmtuned to use nfs
git_system_use_nfs             (비활성  , 비활성 )  Allow git to system use nfs
virt_sandbox_use_nfs           (비활성  , 비활성 )  Allow virt to sandbox use nfs
logrotate_use_nfs              (비활성  , 비활성 )  Allow logrotate to use nfs
git_cgi_use_nfs                (비활성  , 비활성 )  Allow git to cgi use nfs
cobbler_use_nfs                (비활성  , 비활성 )  Allow cobbler to use nfs
httpd_use_nfs                  (비활성  , 비활성 )  Allow httpd to use nfs
sge_use_nfs                    (비활성  , 비활성 )  Allow sge to use nfs
ftpd_use_nfs                   (비활성  , 비활성 )  Allow ftpd to use nfs
sanlock_use_nfs                (비활성  , 비활성 )  Allow sanlock to use nfs
samba_share_nfs                (비활성  , 비활성 )  Allow samba to share nfs
openshift_use_nfs              (비활성  , 비활성 )  Allow openshift to use nfs
polipo_use_nfs                 (비활성  , 비활성 )  Allow polipo to use nfs
use_nfs_home_dirs              (비활성  , 비활성 )  Allow use to nfs home dirs
nfs_export_all_rw              (활성   ,  활성 )  Allow nfs to export all rw
nfs_export_all_ro              (활성   ,  활성 )  Allow nfs to export all ro
[root@server2 /]# 

추가 자료

at4am의 프로필 이미지

at4am

2016년 04월 29일

글쓴이의 더 많은 글 읽어보기