Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

23.20. 보안 레이블

<seclabel> 요소를 사용하면 보안 드라이버의 작동을 제어할 수 있습니다. 작업 기본 모드는 'dynamic' 이며, libvirt가 고유한 보안 레이블을 자동으로 생성하는 'static', 애플리케이션/관리자가 레이블을 선택하는 '정규(static)' 또는 confinement가 비활성화된 'none' 이 있습니다. libvirt는 동적 레이블 생성을 통해 항상 가상 머신과 관련된 모든 리소스의 레이블을 자동으로 다시 지정합니다. 정적 레이블 할당을 사용하면 기본적으로 관리자 또는 애플리케이션에서 라벨이 모든 리소스에서 올바르게 설정되어 있는지 확인해야 하지만 필요한 경우 자동 레이블 재지정을 활성화할 수 있습니다.
libvirt에서 두 개 이상의 보안 드라이버를 사용하는 경우, 각 드라이버에 대해 여러 SAlabel 태그를 사용할 수 있으며, 각 태그에서 참조하는 보안 드라이버를 특성 모델을 사용하여 정의할 수 있습니다. 최상위 보안 레이블에 유효한 입력 XML 구성은 다음과 같습니다.

그림 23.86. 보안 레이블


  <seclabel type='dynamic' model='selinux'/>

  <seclabel type='dynamic' model='selinux'>
    <baselabel>system_u:system_r:my_svirt_t:s0</baselabel>
  </seclabel>

  <seclabel type='static' model='selinux' relabel='no'>
    <label>system_u:system_r:svirt_t:s0:c392,c662</label>
  </seclabel>

  <seclabel type='static' model='selinux' relabel='yes'>
    <label>system_u:system_r:svirt_t:s0:c392,c662</label>
  </seclabel>

  <seclabel type='none'/>
입력 XML에 'type' 특성이 제공되지 않으면 'none' 또는 'dynamic' 일 수 있는 보안 드라이버 기본 설정이 사용됩니다. <baselabel> 이 설정되었지만 'type' 이 설정되어 있지 않으면 유형이 '동적화'인 것으로 간주됩니다. 자동 리소스 레이블을 다시 지정하여 실행 중인 게스트 가상 머신의 XML을 볼 때 추가 XML 요소인 imagelabel 이 포함됩니다. 이는 출력 전용 요소이므로 사용자가 제공한 XML 문서에서 무시됩니다.
다음 요소를 다음 값으로 조작할 수 있습니다.
  • 유형 - 정적 , 동적 또는 libvirt가 고유한 보안 레이블을 자동으로 생성하는지 여부를 확인할 수 없습니다.
  • 모델 - 현재 활성화된 보안 모델과 일치하는 유효한 보안 모델 이름입니다.
  • 레이블 재지정 - 예 또는 아니오 . 동적 레이블 할당이 사용되는 경우 항상 yes 여야 합니다. 정적 레이블 할당을 사용하면 기본적으로 no 가 설정됩니다.
  • <레이블> - 정적 레이블링이 사용되는 경우 가상 도메인에 할당할 전체 보안 레이블을 지정해야 합니다. 콘텐츠 형식은 사용 중인 보안 드라이버에 따라 다릅니다.
    • selinux: SELinux 컨텍스트.
    • AppArmor: AppArmor 프로필입니다.
    • DAC: 콜론으로 구분된 소유자 및 그룹. 사용자/그룹 이름 또는 UID/GID로 둘 다 정의할 수 있습니다. 드라이버는 먼저 이러한 값을 이름으로 구문 분석하려고 하지만 선행 더하기 기호는 드라이버에서 UID 또는 GID로 구문 분석하도록 강제할 수 있습니다.
  • <baselabel> - 동적 레이블이 사용되는 경우 선택적으로 기본 보안 레이블을 지정하는 데 사용할 수 있습니다. 콘텐츠 형식은 사용 중인 보안 드라이버에 따라 다릅니다.
  • <imagelabel> - 출력 전용 요소이며 가상 도메인과 연결된 리소스에 사용되는 보안 레이블을 표시합니다. 콘텐츠 형식은 사용 중인 보안 드라이버에 따라 다릅니다. 레이블 재지정이 적용되는 경우 레이블을 비활성화하여 특정 소스 파일 이름에 대해 수행되는 레이블을 미세 조정할 수도 있습니다(보안 레이블이 없는 파일이 NFS 또는 기타 파일 시스템에 존재하는 경우 유용함) 관리 애플리케이션에서 특정 도메인 간 공유를 허용하기 위해 특수 레이블을 생성할 때 사용할 수도 있습니다. 보안 주체가 최상위 도메인 할당이 아닌 특정 경로에 연결된 경우 특성 레이블 레이블 또는 하위 요소 레이블만 지원됩니다.