Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.20. 보안 레이블

<seclabel> 요소를 사용하면 보안 드라이버 작업을 제어할 수 있습니다. libvirt에서 고유한 보안 레이블을 자동으로 생성하는 '동적'의 기본 모드는 세 가지입니다. 여기서 libvirt는 고유한 보안 레이블을 자동으로 생성합니다. 애플리케이션/관리자가 레이블을 선택하거나, 제한을 해제하는 'none' 입니다. 동적 레이블 생성을 사용하면 libvirt는 항상 가상 머신과 연결된 모든 리소스의 레이블을 자동으로 다시 지정합니다. 정적 레이블 할당에서는 기본적으로 관리자 또는 애플리케이션에서 모든 리소스에 레이블이 올바르게 설정되어 있는지 확인해야 합니다. 그러나 원하는 경우 자동 재레이블을 활성화할 수 있습니다.
libvirt에서 둘 이상의 보안 드라이버를 사용하는 경우 각 드라이버마다 여러 seclabel 태그를 사용할 수 있으며, 각 태그에서 참조하는 보안 드라이버는 최상위 보안 레이블에 대해 특성 모델 Valid input XML 구성을 사용하여 정의할 수 있습니다.

그림 20.69. 보안 레이블


  <seclabel type='dynamic' model='selinux'/>

  <seclabel type='dynamic' model='selinux'>
    <baselabel>system_u:system_r:my_svirt_t:s0</baselabel>
  </seclabel>

  <seclabel type='static' model='selinux' relabel='no'>
    <label>system_u:system_r:svirt_t:s0:c392,c662</label>
  </seclabel>

  <seclabel type='static' model='selinux' relabel='yes'>
    <label>system_u:system_r:svirt_t:s0:c392,c662</label>
  </seclabel>

  <seclabel type='none'/>
입력 XML에 'type' 속성이 제공되지 않으면 보안 드라이버 기본 설정이 사용되며 'none' 또는 'dynamic' 일 수 있습니다. <baselabel> 이 설정되어 있지만 'type' 이 설정되지 않은 경우 유형은 '동시 '로 간주됩니다. 자동 리소스가 활성 상태인 실행 중인 게스트 가상 머신의 XML을 볼 때 추가 XML 요소인 imagelabel 이 포함됩니다. 이는 출력 전용 요소이므로 사용자가 제공한 XML 문서에서 무시됩니다.
다음 요소는 다음 값으로 조작할 수 있습니다.
  • type - 정적 , 동적 또는 none 을 선택하여 libvirt가 고유한 보안 레이블을 자동으로 생성하는지 여부를 확인합니다.
  • 모델 - 현재 활성화된 보안 모델과 일치하는 유효한 보안 모델 이름입니다.
  • 레이블 다시 지정 - 예 또는 아니요 입니다. 동적 레이블 할당이 사용되는 경우 항상 여야 합니다. 정적 레이블을 할당하면 기본값은 no 입니다.
  • <label> - 정적 라벨을 사용하는 경우 가상 도메인에 할당할 전체 보안 레이블을 지정해야 합니다. 콘텐츠 형식은 사용 중인 보안 드라이버에 따라 다릅니다.
    • selinux: SELinux 컨텍스트.
    • AppArmor: AppArmor 프로필.
    • DAC: 소유자와 그룹은 콜론으로 구분됩니다. 사용자/그룹 이름 또는 uid/gid로 모두 정의할 수 있습니다. 드라이버는 먼저 이러한 값을 이름으로 구문 분석하려고 하지만 선행 기호를 사용하여 드라이버를 uid 또는 gid로 구문 분석하도록 할 수 있습니다.
  • <baselabel> - 동적 라벨을 사용하는 경우 선택적으로 기본 보안 레이블을 지정하는 데 사용할 수 있습니다. 콘텐츠 형식은 사용 중인 보안 드라이버에 따라 다릅니다.
  • <imagelabel> - 출력 전용 요소이며, 가상 도메인과 연결된 리소스에 사용되는 보안 레이블을 표시합니다. 콘텐츠 형식은 레이블을 비활성화할 때 사용 중인 보안 드라이버를 사용하는 보안 드라이버에 따라 달라지며, 레이블링을 비활성화하여(파일이 보안 레이블링이 없는 경우 NFS 또는 기타 파일 시스템에 존재하는 경우 사용) 또는 대체 라벨을 요청하는 방식으로 특정 소스 파일 이름에 대해 수행되는 레이블을 미세 조정할 수 있습니다(관리 애플리케이션에서 일부 리소스를 공유하도록 허용하는 경우 특수 레이블이 생성됨). seclabel 요소가 최상위 도메인 할당이 아닌 특정 경로에 연결된 경우 특성 재레이블 또는 하위 요소 레이블만 지원됩니다.