SELinux ¸¦ »ç¿ëÇÏ´Â ÀÌÀ¯´Â?

   Á¶È¸ 8311   Ãßõ 0    

https://www.linux.co.kr/home/lecture/index.php?cateNo=1&secNo=29&theN¡¦ (935)

오늘도 기본적인 질문을 드리게 되네요.

리눅스 셋팅시 보편적으로 SELinux 가 디폴트로 작동 되는데요
개념이 없다보니 항상 디져블로 사용하기는 하나
이것을 활성화 시켜주면 방화벽에서 설정을 바꾸어줘도 먹히지가 안을때가 대부분 이더라고요.

이런 이유때문에 설치후 기본적인 활성을 비활성으로 바꾸고 사용하는데
이럴경우 보안에 문제가 되기때문에 디폴트는 활성화 인건가요?

분명 방화벽 설정이 있음에도 불구하고
SELinux 를 사용하는 이유가 무엇일까요?



링크의 내용과 다른 문서들을 봐도 대체 뭔말인지.....
리눅스 초보에겐 어렵네요...


- by inoree.com -
ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
ÀÌÀºÈ£ 2014-01
SELinux´Â linux °ø°Ý¿¡ ºó¹øÈ÷ ÀÌ¿ëµÇ´Â º¸¾È À§Çè¿ä¼Ò¸¦ ±âº»ÀûÀ¸·Î ¹æ¾îÇØÁÖ´Â ¿ªÇÒÀ» ÇÕ´Ï´Ù.
°¡·É ftp home dir º¸¾ÈÃë¾àÁ¡,
¼¼¸¶Æ÷¾î °øÀ¯ ¸Þ¸ð¸® °ü·Ã Ãë¾àÁ¡,
httpd°¡ »ý¼ºÇÏ´Â tcp socket network Ãë¾àÁ¡µî ´Ù¾çÇÏÁÒ.

ÇØ´ç ±â´ÉÀ» ¾Æ¿¹ »ç¿ëÇÏÁö ¾Ê´Â´Ù¶ó¸é ±â´ÉÀ» Á¦°ÅÇÏ¿© ¾ÖÃÊ¿¡ º¸¾È À§ÇùÀÌ ¹ß»ýÇÏÁö ¾Ê°Ô²û ÇÒ ¼ö ÀÖÁö¸¸
±× ±â´ÉÀ» »ç¿ëÇÏ´Â °æ¿ìµµ ¸¹¾Æ¼­ SELinux µîÀ» ÅëÇÏ¿© ¸·¾ÆµÎ°í Ç® ¼ö ÀÖ°Ô²û ÇÑ °ÍÀÌÁÒ.

Àü SELinux¸¦ °­Á¦ ¼³Á¤ÇÏ°í, ÇÊ¿äÇÑ °Íµé¸¸ setsebool µîÀ¸·Î allowÇØÁÝ´Ï´Ù.
ÇÇÅõ¼º 2014-01
¹æÈ­º®Àº rule ±â¹ÝÀÇ ³×Æ®¿öÅ© Á¢±Ù¿¡ ´ëÇÑ ¹æ¾î¸¦ ¼öÇàÇÏ´Â ¹Ý¸é
SELinux´Â ¿ªÇÒ ±â¹ÝÀ¸·Î Àü¹ÝÀûÀÎ ½Ã½ºÅÛÀÇ ¸®¼Ò½ºµé¿¡ ´ëÇÑ Á¢±Ù ±ÇÇÑÀ» °ü¸®ÇÏ´Â °Í °°½À´Ï´Ù.

Áï HTTP¸¦ ¿¹·Î µé¸é ¹æÈ­º®Àº ƯÁ¤ IP³ª ƯÁ¤ ÆÐÅÏÀÇ dest°¡ 80 portÀÎ ³×Æ®¿öÅ© Á¢±ÙÀ» ¸·´Â´Ù¸é,
Selinux´Â http roleÀ» °®´Â °èÁ¤À¸·Î ½ÇÇàµÇ´Â ¾îÇø®ÄÉÀ̼Ç(apache, cgi, php, java µîµî)ÀÇ ÆÄÀÏ, µð·ºÅ丮, ¼ÒÄÏ »ý¼º,
device i/o, ÇÁ·Î±×·¥ ½ÇÇà µîµî¿¡ ´ëÇÑ Á¢±Ù ¹× ½ÇÇà ±ÇÇÑ¿¡ ´ëÇÑ Àü¹ÝÀûÀÎ °ÍµéÀ» °ü¸®ÇÕ´Ï´Ù.

µû¶ó¼­, °ü¸®Àû Ãø¸é¿¡¼­´Â ¹«Ã´ ±ÍïÀº °ÍÀÌ »ç½ÇÀÔ´Ï´Ù.
¿¹¸¦ À¥ ¼­ºñ½º¸¦ ÇÒ¶§ ƯÁ¤ µð·ºÅ丮¿¡ Á¢±Ù ±ÇÇÑÀ» ÁÖ¾ú´Âµ¥, ¶Ç ½ÇÇà ±ÇÇѵµ ¿­¾îÁÖ¾î¾ß ÇÏ°í,
ÇØ´ç ¾îÇÃÀÌ ¼ÒÄÏÀ» »ç¿ëÇϴµ¥ À̰͵µ ã¾Æ¼­ Ç®¾îÁÖ¾î¾ß ÇÏ°í, ƯÁ¤ h/w¸¦ »ç¿ëÇϴµ¥ À̰͵µ Ç®¾îÁÖ¾î¾ß ÇÏ°í,
½ÉÁö¾î ƯÁ¤ ½Ã½ºÅÛ ÄÝ¿¡ ´ëÇؼ­µµ Ç®¾îÁÖ¾î¾ß ÇÏ´Â °æ¿ìµµ ¹ß»ýÇÏ°í,

¹«¾ù°¡ ¹®Á¦·Î ÇÁ·Î±×·¥ ½ÇÇà ¿¡·¯°¡ ¹ß»ýÇϴµ¥ µµÅë ¾î¶² º¸¾È Á¶°Ç¿¡ °É·Á¼­ ¾ÈµÇ´ÂÁöµµ ¾Ë ¼ö ¾ø°í,
(ÈåÈå Çѹø ¾Ë¾ÆµÎ¸é ½±½À´Ï´Ù. audit °Ë»ç¸¦ ÇÏ¸é ¿øÀΰú ÇØ°á ¹æ¹ýµµ ¾Ë ¼ö ÀÖ½À´Ï´Ù.)

Àú °°Àº °æ¿ì centos 5.x ºÎÅÍ selinux¸¦ Á¢Çß´ø°Í °°Àºµ¥, óÀ½¿£ ±×·²½ÎÇؼ­ ¾ø´Â ÀÚ·á µÚÁ® °¡¸é¼­ »ç¿ëÇغ¼·Á°í Çߴµ¥, ¼­ºñ½º°¡ Àß ¾ÈµÇ¼­ ¸· Ç®¾îÁÖ´Ù º¸¸é, ÀÌ·¸°Ô Ç®¾î ¹ö¸®¸é selinux¸¦ »ç¿ëÇÏ´Â Àǹ̰¡ ÀÖ³ª ½Í±âµµ ÇÏ°í
±×·¡¼­ °á±¹ Áö±ÝÀº Ç×»ó selinux »óÅ ¸ÕÀú È®ÀÎÇÏ°í disable ½ÃÄÑ ¹ö¸³´Ï´Ù.

Á¦ÇÑµÈ È¯°æÀÇ network ¼­ºñ½º ½Ã½ºÅÛÀº ÇÒ¼ö¸¸ ÀÖ´Ù¸é well-known port¸¸ ÇÇÇØ°¡µµ ¾î´ÀÁ¤µµ °ø°ÝÀÇ À§ÇùÀ¸·Î
ºÎÅÍ ¹þ¾î ³¯ ¼ö ÀÖ´Â°Í °°½À´Ï´Ù.
´Ù¸¸ ºÎµæÀÌ well-knownÀ» ½á¾ß ÇÏ´Â ¼­ºñ½º¸¦ ÅëÇØ Ä¿³Î rootkitÀÌ ¼³Ä¡µÇ´Â ¹«½Ã¹«½ÃÇÑ(?) °æÇèµµ ÇßÁö¸¸ ¸»ÀÔ´Ï´Ù.
Å©Å©

»ç¿ëÀ» ¾ÈÇÏ´Ù º¸´Ï centos 6.x ´ëÀÎ Áö±ÝÀº ¾ó¸¶³ª Æí¸®ÇÏ°Ô ¹Ù²î¾ú´ÂÁö ¸ð¸£°Ú½À´Ï´Ù.


QnA
Á¦¸ñPage 3277/5685
2014-05   4964177   Á¤ÀºÁØ1
2015-12   1500613   ¹é¸Þ°¡
2015-11   5431   ȲȥÀ»ÇâÇØ
2018-01   5431   ¼Òȯ»çÅ·
2006-04   5431   ¹Ú»ó¿ë
2005-11   5432   Â÷Àç±Ù
2005-06   5432   À¯È£ÁØ
2007-03   5432   ±è¿ë¼ö_
2007-05   5432   ±èÈ¿¼ö
2017-01   5432   Á¦½ºÆÛÁî
2008-02   5432   ¼Õ°æÈ­
2015-11   5432   ½É¿ì
2017-03   5432   µ¿ÇàÅ¥ºê
2006-05   5432   ÀÌ»ó¿­
2016-03   5432   ¹Ú¸í±ÙTN
2017-11   5432   ÁÖȲº°
2006-04   5432   äÀ±¼º
2013-04   5432   À嵿°Ç2014
2007-10   5432   Ȳ±¤Ã¶
2008-01   5432   ¹ÚÁø±¹
2016-11   5432   È¥ÀÚ°¡´Â±æ
2007-12   5432   ³ëÇϼ®