[Linux] SELinux의 개념 및 보안 설정 방법

🟡 SELinux 란?

 

관리자가 시스템 엑세스 권한을 효과적으로 제어할 수 있게 하는 Linux 시스템용 보안 아키텍처이다. SELinux는 시스템의 애플리케이션, 프로세스, 파일에 대한 엑세스 제어를 정의하고 정책에서 허용된 엑세스만을 실행한다. 

 

전통적으로 Linux와 UNIX 시스템은 DAC(Discretionary Access Control)를 사용해왔지만, SELinux는 Linux용 MAC(Mandatory Access Control) 시스템의 예시이다. DAC의 경우에는 파일과 프로세스에 소유자가 있고 루트 사용자가 DAC 시스템으로 전체 엑세스 제어 권한을 갖는다. 하지만 SELinux와 같은 MAC 시스템에서는 엑세스 관련 관리 정책이 설정되어 있기 때문에 홈 디렉토리의 DAC 설정이 변경되더라도 다른 사용자나 프로세스가 디렉토리에 엑세스 하지 못하도록 되어있다. 

 

 

 

 

 

 

* SELinux 의 기본 *

Security-Enhanced Linux의 줄임말로 보안이 향상된 리눅스라고 정의되어 있다. SELinux 상에서는 각 응용 프로그램에 대해서 접근이 가능한 설정 파일이나 사용할 수 있는 폴더의 위치에 대해서 권한이 명확하게 정의되어 있다. 예를 들어, httpd 프로세스가 php를 통해서 특정 경로에 파일을 write 하는 것도 SELinux context type이 맞아야만 가능하다. 

 

SELinux는 enforcing, permissive, disabled 세 가지 정책을 설정할 수 있다. enforcing의 경우 보안 정책을 적용하는 것이고, permissive의 경우는 경고만 보여주고, disabled는 아예 로딩하지 않는 것이다. 

 

 

 

✅ SELinux 설정 방법

1. SELinux 기본, 현재 설정 확인 및 변경 방법

getenforce		# 현재 설정 확인

# 임시 설정 변경
setenforce 0	# permissive
setenforce 1	# enforcing

# 영구적인 설정 변경
vi /etc/selinux/config

 

2. chcon을 이용한 context type 변경

# php 프로세스가 httpd 상에서 파일 쓰기 권한이 필요할 때 (원하는 경로에 설정)

chcon -t httpd_sys_rw_content_t -R /var/www/html/phpfile

=> SELinux를 사용하지 않으면 설정에 문제는 사라지겠지만 보안이 약해지는 문제가 있다. 따라서, SELinux를 적용한 상태에서 특정 폴더 or 파일의 context type을 상황에 맞게 적용하는 방법을 알아두면 좋은 것이다.

 

3. SELinux 설정값 확인 및 변경

getsebool htttpd_can_network_connect on
getsebool htttpd_can_network_connect 1

# 연결을 허용하지 않을 때
getsebool htttpd_can_network_connect off

=> 부울(boolean)이란 SELinux의 기능에 대한 활성화/비활성화 설정이다. SELinux 기능을 켜거나 끌 수 있는 수백 가지 설정이 있으며, 이 중 다수는 이미 사전 정의되어 있다. 위와 같은 방식으로 httpd 프로세스에서 네트워크 연결 허용 여부를 결정할 수 있다.

 

 

 

 

 

 

Reference

https://shineum.tistory.com/99