Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.9. 파일 시스템 마운트
기본적으로 확장 속성을 지원하는 파일 시스템이 마운트되면 각 파일의 보안 컨텍스트는 파일의 security.selinux 확장 특성에서 가져옵니다. 확장 특성을 지원하지 않는 파일 시스템의 파일에는 파일 시스템 유형에 따라 정책 구성에서 하나의 기본 보안 컨텍스트가 할당됩니다.
mount -o context 명령을 사용하여 기존 확장 속성을 덮어쓰거나 확장 속성을 지원하지 않는 파일 시스템에 대해 다른 기본 컨텍스트를 지정합니다. 이 기능은 여러 시스템에서 사용되는 이동식 미디어와 같이 올바른 속성을 제공하기 위해 파일 시스템을 신뢰하지 않는 경우에 유용합니다. mount -o context 명령을 사용하여 FAT(파일 할당 테이블) 또는 NFS 볼륨과 같은 확장된 속성을 지원하지 않는 파일 시스템의 레이블을 지원할 수도 있습니다. 컨텍스트 옵션으로 지정된
컨텍스트 는 디스크에 작성되지 않습니다. 원래 컨텍스트가 유지되며, 파일 시스템에 첫 번째 위치에서 확장된 속성이 있는 경우 컨텍스트 없이 마운트할 때 표시됩니다.
파일 시스템 레이블 지정에 대한 자세한 내용은 James Morris의 "SELinux의 파일 시스템 레이블 지정" 문서를 참조하십시오 http://www.linuxjournal.com/article/7426.
4.9.1. 컨텍스트 마운트
지정된 컨텍스트를 사용하여 파일 시스템을 마운트하려면 기존 컨텍스트가 있는 경우 재정의하거나 확장 속성을 지원하지 않는 파일 시스템에 다른 기본 컨텍스트를 지정하려면 루트 사용자로 mount -o context=SELinux_user:role:type:level 명령을 사용합니다. 컨텍스트 변경 사항은 디스크에 기록되지 않습니다. 기본적으로 클라이언트쪽의 NFS 마운트는 NFS 볼륨의 정책에서 정의한 기본 컨텍스트로 레이블이 지정됩니다. 일반적인 정책에서 이 기본 컨텍스트는
nfs_t 유형을 사용합니다. 추가 마운트 옵션이 없으면 Apache HTTP 서버와 같은 다른 서비스를 사용하여 NFS 볼륨을 공유하지 못하게 할 수 있습니다. 다음 예제에서는 Apache HTTP 서버를 사용하여 공유할 수 있도록 NFS 볼륨을 마운트합니다.
~]# mount server:/export /local/mount/point -o \ context="system_u:object_r:httpd_sys_content_t:s0"
이 파일 시스템에서 새로 생성된 파일과 디렉터리에
-o 컨텍스트로 지정된 SELinux 컨텍스트가 있는 것처럼 나타납니다. 그러나 이러한 변경 사항은 디스크에 작성되지 않으므로 이 옵션과 함께 지정된 컨텍스트는 마운트 간에 유지되지 않습니다. 따라서 필요한 컨텍스트를 유지하려면 마운트할 때마다 이 옵션을 동일한 컨텍스트와 함께 사용해야 합니다. 컨텍스트 마운트를 영구적으로 만드는 방법에 대한 자세한 내용은 4.9.5절. “컨텍스트 마운트 영구 설정” 을 참조하십시오.
유형 적용은 SELinux 대상 정책에 사용되는 기본 권한 제어입니다. 대부분의 경우 SELinux 사용자 및 역할은 무시할 수 있으므로 SELinux 컨텍스트를
-o 컨텍스트 로 재정의할 때 SELinux system_u 사용자 및 object_r 역할을 사용하고 유형에 집중할 수 있습니다. MLS 정책 또는 다중 범주 보안을 사용하지 않는 경우 s0 수준을 사용합니다.
참고
파일 시스템을
컨텍스트 옵션으로 마운트하면 사용자와 프로세스의 컨텍스트 변경이 금지됩니다. 예를 들어 컨텍스트 옵션을 사용하여 마운트된 파일 시스템에서 chcon 명령을 실행하면 Operation이 지원되지 않습니다.
