Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.16.3. 구성 파일을 사용하여 Lockdown Whitelist 옵션 구성

기본 허용 목록 구성 파일에는 NetworkManager 컨텍스트와 libvirt 의 기본 컨텍스트가 포함되어 있습니다. 사용자 ID 0도 목록에 있습니다.
<?xml version="1.0" encoding="utf-8"?>
	<whitelist>
	  <selinux context="system_u:system_r:NetworkManager_t:s0"/>
	  <selinux context="system_u:system_r:virtd_t:s0-s0:c0.c1023"/>
	  <user id="0"/>
	</whitelist>
다음은 사용자 ID가 815 인 사용자의 경우 firewall-cmd 유틸리티에 대한 모든 명령을 활성화하는 화이트리스트 구성 파일의 예입니다.
<?xml version="1.0" encoding="utf-8"?>
	<whitelist>
	  <command name="/usr/bin/python -Es /bin/firewall-cmd*"/>
	  <selinux context="system_u:system_r:NetworkManager_t:s0"/>
	  <user id="815"/>
	  <user name="user"/>
	</whitelist>
이 예제에서는 사용자 ID사용자 이름 을 모두 표시하지만 하나의 옵션만 필요합니다. Python은 인터프리터이며 명령줄에 앞에 추가됩니다. 특정 명령을 사용할 수도 있습니다. 예를 들면 다음과 같습니다.
/usr/bin/python /bin/firewall-cmd --lockdown-on
이 예에서는 --lockdown-on 명령만 허용됩니다.
참고
Red Hat Enterprise Linux 7에서 모든 유틸리티는 /usr/bin/ 디렉토리에 배치되고 /bin/ 디렉토리가 /usr/bin/ 디렉토리에 자동으로 연결됩니다. 즉, root 로 실행할 때 firewall-cmd 의 경로가 /bin/firewall-cmd 로 확인될 수 있지만/usr/bin/firewall-cmd 를 사용할 수 있습니다. 모든 새 스크립트는 새 위치를 사용해야 합니다. 그러나 root 로 실행되는 스크립트가 /bin/firewall-cmd 경로를 사용하도록 작성된 경우, /usr/bin/firewall-cmd 경로 외에도루트 가 아닌 사용자에게만 사용된 명령 경로를 허용 목록에 추가해야 합니다.
명령의 name 속성 끝에 있는 * 는 이 문자열로 시작하는 모든 명령이 일치합니다. * 가 없으면 인수를 포함한 절대 명령이 일치해야 합니다.