Red Hat Training

A Red Hat training course is available for RHEL 8

6.7. MLS에서 파일 민감도 변경

MLS SELinux 정책에서 사용자는 자체 민감도 수준에서 파일만 수정할 수 있습니다. 이는 매우 민감한 정보가 낮은 수준의 사용자에게 노출되는 것을 방지하기 위한 것입니다. 또한, 사용량이 낮은 사용자가 높은 민감도 문서를 생성하는 것을 방지하기 위한 것입니다. 그러나 관리자는 파일을 높은 수준에서 처리하기 위해 파일의 분류를 수동으로 늘릴 수 있습니다.

사전 요구 사항

  • SELinux 정책이 mls 로 설정됨.
  • SELinux 모드가 enforcing으로 설정됩니다.
  • 보안 관리 권한이 있으므로 다음 중 하나에 할당됩니다.

    • secadm_r 역할.
    • sysadm_secadm 모듈이 활성화된 경우 sysadm_r 역할에 액세스합니다. sysadm_secadm 모듈은 기본적으로 활성화되어 있습니다.
  • policycoreutils-python-utils 패키지가 설치되어 있습니다.
  • 모든 레벨에 할당된 사용자. 자세한 내용은 MLS에서 사용자 설정 수준을 참조하십시오.

    이 예제에서 User1 의 수준은 s1 입니다.

  • 분류 수준이 할당되고 사용자가 액세스할 수 있는 파일.

    이 예에서 /path/to/file 의 분류 수준은 s1 입니다.

절차

  1. 파일의 분류 수준을 확인합니다.

    # ls -lZ /path/to/file
    -rw-r-----. 1 User1 User1 user_u:object_r:user_home_t:s1 0 12. Feb 10:43 /path/to/file
  2. 파일의 기본 분류 수준을 변경합니다.

    # semanage fcontext -a -r s2 /path/to/file
  3. 파일의 SELinux 컨텍스트 레이블을 강제 다시 지정합니다.

    # restorecon -F -v /path/to/file
    Relabeled /path/to/file from user_u:object_r:user_home_t:s1 to user_u:object_r:user_home_t:s2

검증

  1. 파일의 분류 수준을 확인합니다.

    # ls -lZ /path/to/file
    -rw-r-----. 1 User1 User1 user_u:object_r:user_home_t:s2 0 12. Feb 10:53 /path/to/file
  2. 선택 사항: 소문자로 된 사용자가 파일을 읽을 수 없는지 확인합니다.

    $ cat /path/to/file
    cat: file: Permission denied