>  기사  >  운영 및 유지보수  >  SELinux는 어떤 용도로 사용되나요?

SELinux는 어떤 용도로 사용되나요?

青灯夜游
青灯夜游원래의
2023-02-10 11:30:483580검색

SELinux의 주요 기능은 시스템 내 서비스 프로세스에 접근 가능한 리소스를 최소화하고(최소 권한 원칙), 리눅스 시스템 내 악성 코드 활동을 최대한 제한하는 것입니다. SELinux는 Linux 시스템에 배포되는 보안 강화 기능 모듈로 프로세스 및 파일 리소스에 대해 MAC(필수 액세스 제어)를 사용하여 Linux 시스템에 향상된 보안을 제공합니다.

SELinux는 어떤 용도로 사용되나요?

이 튜토리얼의 운영 환경: linux7.3 시스템, Dell G3 컴퓨터.

SELinux란

Security-Enhanced Linux(Security-Enhanced Linux)는 SELinux라고 불리는 Linux 커널 모듈이자 Linux의 보안 하위 시스템입니다.

SELinux는 주로 미국 국가안보국(NSA)에서 개발되었습니다. 버전 2.6 이상의 Linux 커널에는 SELinux 모듈이 통합되어 있습니다.

SELinux의 구조와 구성은 매우 복잡하고 개념적인 부분이 많아 배우기가 어렵습니다. 많은 Linux 시스템 관리자는 문제가 있다는 이유로 SELinux를 끕니다.

SELinux의 용도는 무엇인가요?

SELinux의 주요 기능은 시스템 내 서비스 프로세스에 액세스할 수 있는 리소스를 최소화하는 것입니다(최소 권한 원칙).

기존 Linux 시스템 보안은 DAC(임의 액세스 제어)를 사용하는 반면, SELinux는 Linux 시스템에 배포된 보안 강화 모듈로 프로세스 및 파일 리소스에 MAC(필수 액세스 제어)를 사용하여 Linux 시스템에 향상된 보안을 제공합니다. .

SELinux의 MAC이 DAC를 완전히 대체하지는 않는다는 점에 유의해야 합니다. 반대로 Linux 시스템 보안을 위한 추가 보안 계층입니다. 즉, SELinux를 사용할 때 DAC가 계속 사용됩니다. 먼저 액세스가 허용되면 SELinux 정책이 사용됩니다. 그렇지 않고 DAC 규칙이 액세스를 거부하면 SELinux 정책을 전혀 사용할 필요가 없습니다.

예를 들어 사용자가 실행 권한(rw-) 없이 파일에 작업을 수행하려고 하면 기존 DAC 규칙은 사용자 액세스를 거부하므로 SELinux 정책을 사용할 필요가 없습니다.

기존 Linux DAC 보안 제어 방법과 비교하여 SELinux는 다음과 같은 많은 이점을 제공합니다.

  • 가장 강력한 액세스 제어 방법으로 간주되는 MAC 제어 방법을 사용합니다.

  • 주제(사용자 또는 프로세스) 최소 액세스 권한. 이는 각 주체에게 관련 작업을 완료하는 데 필요한 제한된 권한 세트만 부여됨을 의미합니다. 최소한의 액세스 권한을 부여하면 주체가 다른 사용자나 프로세스에 부정적인 영향을 미치는 것을 방지할 수 있습니다.

  • SELinux 관리 프로세스 중에 각 프로세스에는 자체 실행 영역(도메인이라고 함)이 있으며 각 프로세스는 자체 내부에서만 실행됩니다. 특별한 권한이 부여되지 않으면 도메인, 다른 프로세스 및 파일에 액세스할 수 없습니다.

  • SELinux는 시스템에서 SELinux를 실행하여 생성된 노출을 볼 수 있는 허용 모드로 조정할 수 있습니다. 허용 모드에서 SELinux는 보안 취약점으로 간주되는 사항을 계속 기록하지만 이를 방지하지는 않습니다.

사실 SELinux의 장점을 이해하는 가장 직접적인 방법은 SELinux가 Linux 시스템에서 실행되지 않을 때 어떤 일이 발생하는지 살펴보는 것입니다.

예를 들어, 웹 서버 데몬(httd)은 특정 포트에서 무슨 일이 일어나고 있는지 듣고 있으며, 그런 다음 웹 브라우저에서 홈 페이지를 보기 위한 간단한 요청을 받습니다. SELinux의 제한을 받지 않으므로 httpd 데몬은 요청을 받은 후 다음 작업을 완료할 수 있습니다.

  • 해당 소유자 및 그룹의 rwx 권한에 따라 모든 파일 또는 디렉토리에 액세스할 수 있습니다. 파일 업로드 허용 또는 시스템 표시 변경

  • 과 같은 보안 위험이 있는 완전한 존재 활동은 모든 포트에서 들어오는 요청을 수신할 수 있습니다.

  • 그러나 SELinux 기반 시스템에서는 httpd 데몬이 더 엄격하게 제어됩니다. 위의 예를 계속 사용하면 httped는 SELinux가 수신하도록 허용하는 포트에서만 수신 대기할 수 있습니다. SELinux는 또한 적절하게 설정된 보안 컨텍스트 없이는 httpd가 모든 파일에 액세스하는 것을 방지하고 SELinux에서 명시적으로 활성화되지 않은 안전하지 않은 활동을 거부합니다.

  • 따라서 SELinux는 본질적으로 Linux 시스템에서 악성 코드 활동을 최대한 제한합니다.

관련 추천: "

Linux 비디오 튜토리얼

"

위 내용은 SELinux는 어떤 용도로 사용되나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.