달력

122021  이전 다음

  •  
  •  
  •  
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  

SELinux의 이해

OS/LINUX 2006. 7. 4. 11:53

Fedora Core4에 기본 포함된 Selinux에 대한 개념이해하는데 많은 도움이 될 수 있는 문서입니다.

 

 

1. SELinux의 이해

Q: SELinux란?
Q: SELinux 정책이란?
Q: SELinux 목표 정책(SELinux targeted policy)이란?
Q: 어떤 데몬이 목표 정책에 의해 보호받는가?
Q: 어느 데몬을 목표 정책에 추가할 것인가? Sendmail, Postfix, MySQL, 혹은 PostgreSQL?
Q: 염격한 정책은 어떤가? 이 정책 조차도 유효한가?(Does it even work?)
Q: 파일 문맥이란?
Q: 파일, 사용자, 프로세스의 보안 문맥을 확인하는 방법은?
Q: 영역과 유형은 어떻게 다른가?

 

2. SELinux 제어하기

Q: SELinux 설치 및 설치 안하는 방법은?
Q: 사용중인 정책을 교체하는 방법은?
Q: 목표 정책하에서 특정 데몬에 대하여 SELinux protection을 활성화/비활 성화 방법은?
Q: 부팅시 SELinux를 비활성화시키는 방법은?
Q: 부팅시 enforcing을 활성화/비활성화하는 방법은?
Q: 재부팅하지 않고 enforcing 모드를 임시로 비활성화시키는 방법은?
Q: 부팅시 시스템콜 auditing 키거나 끄는 방법은?
Q: 재부팅을 하지않고 시스템콜 auditing을 잠정적으로 끄는 방법은?
Q: SELinux 설치에 관한 상태 정보(status info)를 얻는 방법은?

 

3. 문제 해결하기

Q: 응용프로그램이 기대했던 데로 동작하지않고 avc: denied 란 메시지가 나타나면, 어떻게 이 문제를 해결하는 가?
Q: 기존 /home 파티션이 있는 시스템에 휘도라 코아를 설치하고 로그인을 할 수 없을 때 해결방법은?
Q: setfiles나 fixfiles를 사용하여 /home을 재명명한 후, 여전히 SELinux 비활성 시스템(non-SELinux-enabled system)으로 /home을 읽을 수 있을까?
Q: 휘도라 코아와 비SELinux 시스템간에 NFS를 사용하여 디렉토리를 공유하는 방법은?
Q: 적절한 문맥을 갖는 사용자 홈 디렉토리와 함께 새 리눅스 사용자 계정 을 만드는 방법은?
Q: 다른 모든 SELinux 문서는 su이 단지 리눅스 정체성만을 바꾸고 보안 역할(security role)은 아니라고 말한다.
Q: 특정 프로그램에 대한 로그를 채우는 avc 오류에 골치를 앓고 있다. 어떻게 하면 그것에 대한 접근을 감시하지(audit) 않도록 선택할 수 있는가?
Q: 비록 허가 모드에서 운행될 지라도(even running in permissive mode), 많은 수의 avc denied 메시지가 나타난다.
Q: 오직 SELinux가 enforcing 모드에 있을 때만 특정 허가 거부를 받지만, /var/log/messages에는 어떠한 감시 메시지를 볼 수가 없다. 이들 침묵의 거부(silent denials)의 원인을 밝혀낼(identify) 수 있는 방법은?
Q: 정책 패키지를 업그레이드할 때(예를 들어, yum을 사용하여), 기존 정책 에 어떤 일이 발생하는가; 자동으로 업데이트되는가?
Q: 만일 응용프로그램 패키지와 함께 보급되는 정책이 재명명이 필요한 방법으로 변경된다면, RPM은 패키지가 소유한 파일들을 재명명을 처리할 것인가?
Q: 정책과 정책 소스 패키지사이에 어떤 관계가 있는가?
Q: 왜 /etc/selinux/policyname/policy/policy.<version>과 /etc/selinux/policyname/src/policy/policy.<version> 파일은 다른 (크기, md5sums, 날짜)를 갖는가?
Q: 새로운 정책 패키지가 시스템을 비활성화시킬(disable) 것인가?
Q: 정책 작성에 도움을 줄 수 있는 방법은?
Q: 콘솔에 메시지가 넘쳐나고 있다. 어떻게 이것을 막아낼 수 있는가?
Q: 정책 소스를 설치하지 않고 기본 정책을 시험할 수 있는가?
Q: KDE 응용프로그램을 SELinux하에서 작동하는 데 문제가 있다.
Q: SELinux=disabled가 작용하지 않는 이유는?

 

4. SELinux 배치하기

Q: SELinux를 사용하기 위해 어떤 파일 시스템을 선택해야 하는가?
Q: SELinux는 시스템 성능에 어떠한 영향을 미치는가?
Q: SELinux를 효과를 제고하기위해(to leverage SELinx in) 첫째로 보아야 할 것은 어떤 유형의 배치/응용프로그램/시스템 등 인가(What types of deployments/applications/systems, etc.)?
Q: 어떻게 SELinux가 제삼 응용프로그램에 영향을 끼치는가?

 

문서출처 : KLDP

'OS > LINUX' 카테고리의 다른 글

[펌] Apache access_log 로그 관련 내용및 관리법  (0) 2007.05.21
큐메일 제어 스크립트 qmHandle  (0) 2007.02.20
SELinux의 이해  (0) 2006.07.04
메일서버 릴레이 테스트  (0) 2006.06.16
[qmail]queue-fix  (0) 2006.05.30
[qmHandle 1.2] 큐메일 제어 스크립트  (0) 2006.05.29
Posted by Tornado tornado

댓글을 달아 주세요