Red Hat Training

A Red Hat training course is available for RHEL 8

6.10. MLS 사용자가 더 낮은 수준에서 파일을 편집 가능

기본적으로 MLS 사용자는 클리어스 범위의 낮은 값보다 민감도 수준이 있는 파일에 쓸 수 없습니다. 사용자가 더 낮은 수준에서 파일을 편집하도록 허용하는 경우 로컬 SELinux 모듈을 생성하여 이를 수행할 수 있습니다. 그러나 파일에 쓰는 경우 민감도 수준이 사용자의 현재 범위보다 낮은 값으로 증가합니다.

사전 요구 사항

  • SELinux 정책은 mls 로 설정됩니다.
  • SELinux 모드는 enforcing 으로 설정됩니다.
  • policycoreutils-python-utils 패키지가 설치되어 있습니다.
  • 확인을 위한 setools-console감사 패키지입니다.

절차

  1. 선택 사항: 문제 해결을 위해 허용 모드로 전환합니다.

    # setenforce 0
  2. 텍스트 편집기로 새 .cil 파일(예: ~/local_mlsfilewrite.cil )을 열고 다음 사용자 지정 규칙을 삽입합니다.

    (typeattributeset mlsfilewrite (_staff_t_))

    staff_t 를 다른 SELinux 유형으로 교체할 수 있습니다. SELinux 유형을 지정하면 하위 수준 파일을 편집할 수 있는 SELinux 역할을 제어할 수 있습니다.

    로컬 모듈을 더 잘 정리하려면 로컬 SELinux 정책 모듈의 이름에 local_ 접두사를 사용합니다.

  3. policy 모듈을 설치합니다.

    # semodule -i ~/local_mlsfilewrite.cil
    참고

    로컬 정책 모듈을 제거하려면 semodule -r ~/local_mlsfilewrite 를 사용합니다. .cil 접미사 없이 모듈 이름을 참조해야 합니다.

  4. 선택 사항: 이전에 허용 모드로 다시 전환한 경우 강제 모드로 돌아갑니다.

    # setenforce 1

검증

  1. 설치된 SELinux 모듈 목록에서 로컬 모듈을 찾습니다.

    # semodule -lfull | grep "local_mls"
    400 local_mlsfilewrite  cil

    로컬 모듈에는 우선 순위가 400 이므로 semodule -lfull | grep -v ^100 명령을 사용하여 나열할 수도 있습니다.

  2. 사용자 지정 규칙에 정의된 유형에 할당된 사용자로 로그인합니다(예: staff_t ).
  3. 민감도 수준이 낮은 파일에 쓰기를 시도합니다. 이렇게 하면 파일의 분류 수준이 사용자의 명확한 수준으로 증가합니다.

    중요

    구성이 잘못되어 사용자가 실제로 권한 없이 파일에 액세스할 수 있는 경우 중요한 정보를 확인하는 데 사용하는 파일에 중요한 정보가 포함되어서는 안 됩니다.