우분투는 기본적으로 SELinux를 사용합니까? 그렇지 않은 경우 보안 컨텍스트는 어떻게 관리됩니까? 예를 들어, 프로세스가 보안 컨텍스트없이 루트로 실행되도록하는 것은 보안 위험이 될 수 있습니다.
SELinux에 대한 도움말 페이지는 SELinux를 수동으로 설치해야하는 프로그램입니다 제안합니다.
그렇다면 우분투는 보안 컨텍스트를 어떻게 처리합니까?
우분투는 기본적으로 SELinux를 사용합니까? 그렇지 않은 경우 보안 컨텍스트는 어떻게 관리됩니까? 예를 들어, 프로세스가 보안 컨텍스트없이 루트로 실행되도록하는 것은 보안 위험이 될 수 있습니다.
SELinux에 대한 도움말 페이지는 SELinux를 수동으로 설치해야하는 프로그램입니다 제안합니다.
그렇다면 우분투는 보안 컨텍스트를 어떻게 처리합니까?
답변:
우분투는 SELinux 대안 인 AppArmor를 사용합니다 .
Wikipedia 는 왜 일부 사람들이 AppArmor가 SELinux보다 낫다고 생각하는지에 대한 힌트를 제공합니다.
AppArmor는 SELinux의 대안으로 부분적으로 제공되며, 비평가들은 관리자가 설정 및 유지 관리가 어렵다고 생각합니다. 파일에 레이블을 적용하는 SELinux와 달리 AppArmor는 파일 경로와 함께 작동합니다. AppArmor의 지지자는 일반 사용자가 SELinux보다 배우기가 덜 복잡하고 쉽다고 주장합니다. 또한 AppArmor는 기존 시스템에서 작동하기 위해 더 적은 수정이 필요하다고 주장합니다. 예를 들어 SELinux에는 "보안 레이블"을 지원하는 파일 시스템이 필요하므로 NFS를 통해 마운트 된 파일에 대한 액세스 제어를 제공 할 수 없습니다. AppArmor는 파일 시스템에 구애받지 않습니다.
우분투는 핵심 애플리케이션을위한 많은 AppArmor 프로파일을 제공합니다. 에서 찾을 수 있습니다 /etc/apparmor.d/. 기본 프로필을 편집해야하는 경우의 설정을 재정의 할 수 있습니다 /etc/apparmor.d/local/.
우분투는 또한 소위 "추상화 (abstractions)"를 제공하는데, 이는 자신을 반복하지 않고 자신의 AppArmor 프로파일을 빠르게 작성하는 데 도움이되는 방법입니다 (유명한 DRY 원칙 ).
중요한 것은 Firefox 용 AppArmor 프로파일이 많은 사용자에게 너무 제한적일 수 있기 때문에 기본적으로 비활성화되어 있다는 것입니다. 그러나 설명서에 설명 된대로 활성화 할 수 있습니다 .
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
SELinux를 사용 하려면 AppArmor 를 비활성화 하고 selinux 패키지를 설치하십시오 . 그러나 Ubuntu에서 SELinux의 기본 구성은 그다지 제한적이지 않으므로 직접 구성해야합니다.