안녕하세요. 이번 글에서는 selinux가 무엇인지, selinux의 모드들과 변경하는 방법, 종료 또는 비활성화 하는 방법에 대해 씁니다.
1. SElinux란???
SElinux는 리눅스 시스템에서 보안을 강화하기 위한 목적으로 개발된 커널 보안 모듈입니다.
Security-Enhanced Linux 의 약자이며 여러가지 리눅스 배포판들에 기본적으로 포함되있습니다.
SElinux는 시스템에서 정책에 따라 프로세스, 파일, 네트워크 통신 등에 관여하여 통제합니다.
리눅스 커널의 일부로 작동하기 때문에 데몬을 실행시키거나 종료하는 것처럼 작동시킬 수는 없습니다.
SElinux는 시스템에서 실행되는 프로세스들과 시스템 리소스 간의 액세스 통제, 악의적인 공격이나 신뢰할 수 없는 소프트웨어로부터 시스템을 보호합니다.
이를 MAC(Mandatory Access Control) 을 구현함으로써 리눅스 시스템 내의 모든 사용자, 프로세스, 파일에 대해 통제합니다.
기본적으로 제공되는 정책을 사용할 수도 있고 시스템에 커스텀하게 설정할 수도 있습니다.
2. SElinux의 3가지 모드
SElinux에서는 3가지의 모드를 실행할 수 있는데 각 모드마다 통제의 범위가 다릅니다.
- Enforcing :
- Enforcing 모드는 SELinux가 정책을 강제 적용하고, 정책에 위반되는 액세스를 차단합니다. 이 모드가 시스템의 보안을 최대한 강화하는 기본 모드입니다.
- Permissive :
- Permissive 모드는 SELinux가 정책 위반을 감지하지만, 액세스를 차단하지 않고 로그에 기록만 합니다. 이 모드는 문제 해결 또는 보안정책의 테스트 목적으로 사용됩니다.
- Disabled :
- DIsabled 모드는 SELinux가 완전히 비활성화되어 보안 정책을 적용하지 않습니다. 시스템 보안이 약화되므로 꼭 필요한 경우가 아니라면 사용하지 않는 것이 좋습니다.
3. SElinux 모드 변경
SElinux는 위와 같이 /etc/selinux 디렉토리 하위의 설정파일들과 여러가지 파일들로 구성됩니다.
여기서 주목해야할 파일은 /etc/selinux/config 파일입니다.
/etc/selinux/config 파일을 열어보면 SELINUX=enforcing 이라는 것을 볼 수 있습니다.
현재 제 리눅스 OS의 SELINUX 설정이 enforcing 모드라는 것을 알 수 있습니다.
모드를 변경하고 싶다면 enforcing을 permissive나 disabled로 변경한 뒤 시스템을 재시작하면 적용됩니다.
4. SElinux 모드 변경
SElinux를 명령어를 통해서 비활성화 또는 종료하는 것도 가능합니다.
이 방법은 임시적으로 적용되며 영구적으로 selinux 설정을 변경하기 위해서는 위의 모드 변경 방법을 통해서 진행해야 합니다.
getenforce #selinux 모드 출력'getenforce' 명령어를 사용하면 현재 selinux가 어떤 모드인지 출력해줍니다.
현재 selinux가 enforcing 모드라는 것을 알 수 있습니다.
그럼 이 모드를 명령어를 통해서 변경해보겠습니다.
setenforce 0 #selinux를 permissive로 적용'setenforce 0' 명령어를 사용하면 임시적으로 selinux를 permissive로 변경가능합니다.
setenforce 명령어는 0과 1 또는 Enforcing과 Permissive 의 값만 사용할 수 있고 disabled 또는 다른 값은 없습니다.
setenforce 1 #selinux를 enforcing 으로 변경다시 enforcing으로 변경하려면 'setenforce 1' 명령어를 사용하면 됩니다.
본 포스팅의 내용 및 이미지를 무단 전재, 재배포 또는 복사를 금지합니다.
인용 시 출처와 같이 공개해주세요!
도움이 되셨다면 댓글 또는 공감 부탁드립니다!
댓글