왜 SELinux가 필요합니까?


14

SELinux가 사용 된 위치와 공격자가 저장 한 내용을 잘 알 수 없었습니다. SELinux 웹 사이트를 방문하여 기본 사항을 읽었지만 여전히 SELinux에 대한 실마리를 얻지 못했습니다. SSH 쉘, Apache 프론트 엔드, 역할 기반 웹 애플리케이션, MySQL DB, memcached를 제공하는 Linux 시스템의 경우 거의 모든 시스템이 비밀번호로 보호되므로 SELinux가 필요한 이유는 무엇입니까?

답변:


14

SELinux를 시스템 호출 방화벽 으로 볼 수 있습니다 . 각 응용 프로그램에 대한 정책은 응용 프로그램이 수행 할 수있는 작업을 지정합니다. 이름 서버는 포트 53에서 수신 대기하고 특정 디렉토리의 일부 영역 파일에 대해 작업하며 syslog를 전송합니다. 예를 들어 / home에있는 파일로 작업하려고 시도하는 것은 의미가 없습니다. SELinux의 이러한 정책 시행은 네임 서버의 취약점이 시스템의 다른 부분으로 확산되는 것이 훨씬 어려울 것임을 의미합니다.

SELinux가 진정한 보안 가치를 제공한다는 것을 알았습니다. 그러나 수년에 걸쳐 작업하기가 더 쉬워졌지만 불행히도 여전히 복잡한 시스템입니다. 좋은 점은 전체 시스템에 대해 전원을 끄지 않고도 일부 서비스에 대해 쉽게 끌 수 있다는 것입니다. 너무 많은 (주니어?) 시스템 관리자가 하나의 서비스에서 가장 작은 문제가 발생하자마자 SELinux를 전환합니다. 문제를 일으키는 서비스에 대해 선택적으로 전원을 끄는 대신.


궁금한 점 : "일부 서비스에서는 쉽게 사용 중지"방법은 무엇입니까?
Belmin Fernandez

man -k selinux시작하기 좋은 곳입니다. 일반적으로 특정 서비스에서 SELinux를 사용하지 않도록 설정할 수있는 * _disable_trans sebools가 있습니다.
jgoldschrafe

2
@jgoldschrafe 그리고 그것이 "쉬운"방법입니다.
위르겐 A. 에르하르트

1
"/ home에있는 파일을 사용하려고 시도하는 것은 말이되지 않습니다"-권한이있는 파일에 대한 DNS 서버의 액세스를 제한 할 수 없습니까?
symcbean

8

모든 보안 문제를 미리 예측할 수있는 것은 아닙니다. 공격자가 타사 httpd 모듈과 같은 취약점을 악용 할 경우 사용자 httpd와 동일한 파일에 액세스 할 수 있습니다. SELinux는 또한 SELinux 도메인이 액세스 할 수있는 조치 및 파일 컨텍스트로 제한하여이를 제한합니다.




2

SELinux 는 전체 Linux 시스템의 복잡성을 드러내는 데 훌륭한 역할을합니다.
보안의 흥미로운 측면은 "무엇을하고 있는가?"라는 질문입니다.
잘 작동하면 알지 못할 수도 있습니다. 웹 서버를 실행 중이고 방금 유지 된 경우 시스템에 대해 몇 가지 악용 시도가 시도 된 것을 알 수 없습니다.
민간 기업에 관해서는 모르겠습니다. SELinux가 테이블에 제공하는 무결성이 필요한 경우에는 반드시 사용해야합니다.
정부의 경우 MAC이 사용되고 있음을 지적하는 공개 소스 (정부 프로젝트 등)가 있으며, 그 가능성은 상당히 높습니다. 정부 시스템은 배포 및 시스템 보유 정보에 따라 사용하기 전에 특정 기준을 충족해야합니다.
결국 보안은 실제로 위험 관리이며 올바른 수준의 노력을 선택하는 것입니다.
또한 보안은 지속적인 노력이 아니라 단순히 켜는 것이 아닙니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.