Red Hat Training

A Red Hat training course is available for RHEL 8

6.2. MLS에서 SELinux 역할

SELinux 정책은 각 Linux 사용자를 SELinux 사용자에게 매핑합니다. 이를 통해 Linux 사용자는 SELinux 사용자의 제한을 상속할 수 있습니다.

중요

MLS 정책에는 제한되지 않은 사용자, 유형 및 역할을 포함하여 제한되지 않은 모듈이 포함되어 있지 않습니다. 그 결과 root 를 포함한 제한되지 않은 사용자는 모든 오브젝트에 액세스할 수 없으며 목표 정책에서 수행할 수 있는 모든 작업을 수행할 수 없습니다.

정책의 부울을 조정하여 특정 요구 사항에 따라 SELinux 정책에서 제한된 사용자에 대한 권한을 사용자 지정할 수 있습니다. semanage boolean -l 명령을 사용하여 이러한 부울의 현재 상태를 확인할 수 있습니다. 모든 SELinux 사용자, SELinux 역할, MLS/MCS 수준 및 범위를 나열하려면 semanage user -l 명령을 root 로 사용합니다.

표 6.1. MLS에서 SELinux 사용자 역할

사용자기본 역할추가 역할

guest_u

guest_r

 

xguest_u

xguest_r

 

user_u

user_r

 

staff_u

staff_r

auditadm_r

secadm_r

sysadm_r

staff_r

sysadm_u

sysadm_r

 

root

staff_r

auditadm_r

secadm_r

sysadm_r

system_r

system_u

system_r

 

system_u 는 시스템 프로세스 및 개체의 특수 사용자 ID이며 system_r 은 관련 역할입니다. 관리자는 이 system _u 사용자와 system_ r 역할을 Linux 사용자에게 연결해서는 안 됩니다. 또한 unconfined_uroot 는 제한되지 않은 사용자입니다. 이러한 이유로 이러한 SELinux 사용자와 연결된 역할은 다음 표 유형 및 SELinux 역할에 대한 액세스에 포함되지 않습니다.

각 SELinux 역할은 SELinux 유형에 해당하며 특정 액세스 권한을 제공합니다.

표 6.2. MLS에서 SELinux 역할 유형 및 액세스

Role유형X 윈도우 시스템을 사용하여 로그인susudo홈 디렉토리 및 /tmp 에서 실행 (기본값)네트워킹

guest_r

guest_t

아니요

아니요

제공됨

아니요

xguest_r

xguest_t

제공됨

아니요

제공됨

웹 브라우저만 해당 (Firefox, GNOME Web)

user_r

user_t

제공됨

아니요

제공됨

제공됨

staff_r

staff_t

제공됨

sudo

제공됨

제공됨

auditadm_r

auditadm_t

 

제공됨

제공됨

제공됨

secadm_r

secadm_t

 

제공됨

제공됨

제공됨

sysadm_r

sysadm_t

xdm_sysadm_login 부울이 있는경우에만

제공됨

제공됨

제공됨

  • 기본적으로 HEALTH _r 역할에는 secadm_r 역할의 권한이 있습니다. 즉, sensitive _r 역할의 사용자는 보안 정책을 관리할 수 있습니다. 사용 사례와 일치하지 않는 경우 정책에서 sysadm_secadm 모듈을 비활성화하여 두 역할을 분리할 수 있습니다. 자세한 내용은 6.8절. “MLS의 보안 관리와 시스템 관리 분리” 을 참조하십시오.
  • 로그인이 아닌 역할 dbadm_r,logadm_rwebadm_r 은 관리 작업의 하위 집합에 사용할 수 있습니다. 기본적으로 이러한 역할은 SELinux 사용자와 연결되어 있지 않습니다.