16.6. 가상화를 위한 SELinux 부울
RHEL 8에서는 강제 모드의 SELinux가 있는 호스트에서 자동으로 활성화된 특수 SELinux 부울 세트인 sVirt 기능을 제공합니다.
RHEL 8 시스템에서 가상 시스템 보안을 세밀하게 구성하려면 호스트에서 SELinux 부울을 구성하여 하이퍼바이저가 특정 방식으로 작동하도록 할 수 있습니다.
가상화 관련 부울과 해당 상태를 모두 나열하려면 getsebool -a | grep virt 명령을 사용합니다.
$ getsebool -a | grep virt
[...]
virt_sandbox_use_netlink --> off
virt_sandbox_use_sys_admin --> off
virt_transition_userdomain --> off
virt_use_comm --> off
virt_use_execmem --> off
virt_use_fusefs --> off
[...]
특정 부울을 활성화하려면 명령에서 setsebool -P boolean_name 을 root로 사용합니다. 부울을 비활성화하려면 setsebool -P boolean_name off 를 사용합니다.
다음 표에는 RHEL 8에서 사용할 수 있는 가상화 관련 부울과 활성화된 경우 수행하는 작업이 나열되어 있습니다.
| SELinux 부울 | 설명 |
|---|---|
| staff_use_svirt | 루트가 아닌 사용자가 VM을 sVirt로 만들고 전환할 수 있도록 합니다. |
| unprivuser_use_svirt | 권한이 없는 사용자가 VM을 만들고 sVirt로 전환할 수 있도록 합니다. |
| virt_sandbox_use_audit | 샌드박스 컨테이너에서 감사 메시지를 보낼 수 있습니다. |
| virt_sandbox_use_netlink | 샌드박스 컨테이너가 netlink 시스템 호출을 사용할 수 있도록 합니다. |
| virt_sandbox_use_sys_admin | 샌드박스 컨테이너가 mount와 같은 sys_admin 시스템 호출을 사용하도록 설정합니다. |
| virt_transition_userdomain | 가상 프로세스가 사용자 도메인으로 실행될 수 있도록 합니다. |
| virt_use_comm | virt가 직렬/병렬 통신 포트를 사용할 수 있도록 합니다. |
| virt_use_execmem | 제한된 가상 게스트가 실행 가능한 메모리 및 실행 가능한 스택을 사용할 수 있도록 합니다. |
| virt_use_fusefs | virt에서 FUSE 마운트된 파일을 읽을 수 있도록 합니다. |
| virt_use_nfs | virt를 통해 NFS 마운트 파일을 관리할 수 있습니다. |
| virt_use_rawip | virt가 rawip 소켓과 상호 작용할 수 있도록 합니다. |
| virt_use_samba | virt를 통해 CIFS 마운트 파일을 관리할 수 있습니다. |
| virt_use_sanlock | 제한된 가상 게스트가 온락과 상호 작용할 수 있도록 합니다. |
| virt_use_usb | virt에서 USB 장치를 사용할 수 있도록 합니다. |
| virt_use_xserver | 가상 시스템이 X Window 시스템과 상호 작용할 수 있도록 합니다. |
