Texonom
Texonom/
Engineering
Engineering/Hardware Engineering/Computer/Operating System/UNIX/Unix-like/Linux/Linux Strcutre/Linux Security/
SELinux
Search

SELinux

Creator
Creator
Seonglae Cho
Created
Created
2020 Jan 10 13:49
Editor
Editor
Seonglae Cho
Edited
Edited
2024 Mar 22 5:34
Refs
Refs
NSA 에서 처음 개발되었고
Mandatory Access Control 를 위해 시작되었. NSA가 제공한 리눅스 커널에 강제 액세스 제어 기능을 추가한 기능으로 프로세스에서 수행 할 수있는 작업을 제한한다.
SELinux는 프로세스마다 액세스 제한을 거는 TE(Type Enforcement)와 root 를 포함한 모든 사용자에게 제어를 거는 RBAC(Role-based Access Control) 등으로 root 에게 권한이 집중되는 것을 막아줌
SELinux Usages
sepolicy
semanage
setsebool
chcon
SEAndroid
 
 

A mix of DAC + multiple MACs + others

notion image
https://www.usenix.org/system/files/sec20_slides_hernandez_final.pdf

disable

sudo nano /etc/selinux/config
# SELINUX=disabled
reboot
getenforce
# Disabled

http issue

chcon -R -t httpd_sys_rw_content_t /var/www/myweb
audit2why < /var/log/audit/audit.log
semanage fcontext  -l|grep html|grep httpd_sys_rw_content_t
setsebool -P httpd_unified 1
 
 

http

RHEL/CentOS 7 httpd SELinux policy 변경
RHEL/CentOS 6까지는 httpd 프로세스가 httpd_sys_content_t 가 설정된 자원은 read/write 가 가능했으나 7 에서는 read 만 가능하게 변경되었다. 이는 워드프레스같은 CMS 의 사용자가 많아짐에 따라 취약점을 이용하여 웹 쉘을 워드프레스 설치 폴더에 올려 놓고 해킹하는 등의 공격이 빈번해져서 보안 강화 차원에서 read와 write 권한을 분리한 게 아닌가 싶다.
RHEL/CentOS 7 httpd SELinux policy 변경
https://www.lesstif.com/pages/viewpage.action?pageId=27984832
RHEL/CentOS 7 httpd SELinux policy 변경
개발자를 위한 인프라 기초 총정리
최근 클라우드 관련 부서로 옮겨 클라우드 관련 업무를 맡게 되었습니다. 그동안 개발은 했어도 인프라 지식은 많지 않은 상황에서 업무를 하다보니 어려운 부분이 있어 인프라 기초를 정리해봅니다. IT Infrastructure IT 인프라란 애플리케이션을 가동시키기 위해 필요한 하드웨어나 OS, 미들웨어, 네트워크 등 시스템의 기반을 말합니다. 시스템의 요구사
개발자를 위한 인프라 기초 총정리
https://futurecreator.github.io/2018/11/09/it-infrastructure-basics/index.html
개발자를 위한 인프라 기초 총정리
 
 
 

Backlinks

Ubuntu ToolLinux Distribution

Recommendations

Texonom
Texonom/
Engineering
Engineering/Hardware Engineering/Computer/Operating System/UNIX/Unix-like/Linux/Linux Strcutre/Linux Security/
SELinux