7.5. MCS의 파일에 카테고리 할당
사용자에게 카테고리를 할당하려면 관리자 권한이 필요합니다. 그런 다음 사용자는 파일에 카테고리를 할당할 수 있습니다. 파일의 카테고리를 수정하려면 사용자에게 해당 파일에 대한 액세스 권한이 있어야 합니다. 사용자는 파일이 할당된 범주에만 할당할 수 있습니다.
시스템은 카테고리 액세스 규칙과 기존 파일 액세스 권한을 결합합니다. 예를 들어,
범주가 있는 사용자가 Discretionary Access Control(DAC)을 사용하여 다른 사용자가 파일에 대한 액세스를 차단하는 경우 해당 파일에 액세스할 수 없습니다. 사용 가능한 모든 카테고리에 할당된 사용자는 여전히 전체 파일 시스템에 액세스하지 못할 수 있습니다.
bigfoot
사전 요구 사항
-
SELinux 모드는
enforcing
으로 설정됩니다. -
SELinux 정책은
대상
또는mls
로 설정됩니다. -
policycoreutils-python-utils
패키지가 설치됩니다. Linux 사용자에 대한 액세스 및 권한:
- SELinux 사용자에게 할당됩니다.
- 파일을 할당할 카테고리에 할당됩니다. 자세한 내용은 MCS의 사용자에게 카테고리 할당을 참조하십시오.
- 카테고리에 추가할 파일에 대한 액세스 및 권한.
- 확인을 위해: 이 카테고리에 할당되지 않은 Linux 사용자에 대한 액세스 및 권한
프로세스
파일에 카테고리 추가:
chcat -- +<category1>,+<category2> <path/to/file1>
$ chcat -- +<category1>,+<category2> <path/to/file1>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow setrans.conf
파일에 정의된 카테고리 번호c0
에서c1023
또는 카테고리 레이블을 사용합니다. 자세한 내용은 MCS의 카테고리 라벨 정의를 참조하십시오.동일한 구문을 사용하여 파일에서 카테고리를 제거할 수 있습니다.
chcat -- -<category1>,-<category2> <path/to/file1>
$ chcat -- -<category1>,-<category2> <path/to/file1>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고범주를 제거하는 경우
-<category>
구문을 사용하기 전에 명령줄에서--
을 지정해야 합니다. 그렇지 않으면chcat
명령이 카테고리 제거를 명령 옵션으로 잘못 해석합니다.
검증
파일의 보안 컨텍스트를 표시하여 올바른 카테고리가 있는지 확인합니다.
ls -lZ <path/to/file>
$ ls -lZ <path/to/file> -rw-r--r-- <LinuxUser1> <Group1> root:object_r:user_home_t:_<sensitivity>_:_<category>_ <path/to/file>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 파일의 특정 보안 컨텍스트는 다를 수 있습니다.
선택 사항: Linux 사용자로 로그인할 때 파일과 동일한 카테고리에 할당되지 않은 경우 파일에 액세스하려면 다음을 수행합니다.
cat <path/to/file> cat: <path/to/file>: Permission Denied
$ cat <path/to/file> cat: <path/to/file>: Permission Denied
Copy to Clipboard Copied! Toggle word wrap Toggle overflow