8.6. SELinux
8.6.1. SELinux 패키지가 Python 3으로 마이그레이션
-
policycoreutils-python
은policycoreutils-python-utils
및python3-policycoreutils
패키지로 교체되었습니다. -
이제
libselinux-python
패키지의 기능은python3-libselinux
패키지에서 제공합니다. -
setools-libs
패키지의 기능은 이제python3-setools
패키지에서 제공합니다. -
libsemanage-python
패키지의 기능은 이제python3-libsemanage
패키지에서 제공합니다.
8.6.2. SELinux 하위 패키지의 변경 사항
-
libselinux-static
,libsemanage-static
,libsepol-static
,setools-libs-tcl
이 제거되었습니다. -
RHEL 8.0 및 8.1에서는
setools-gui
및setools-console-analyses
를 사용할 수 없습니다. RHEL 8.2는 이러한 하위 패키지가 포함된 RHEL 8의 첫 번째 마이너 버전입니다.
8.6.3. SELinux 정책 변경
init_t
도메인 유형은 RHEL 8에서 더 이상 제한되지 않습니다. 이로 인해 다른 SELinux 레이블 접근 방식을 사용하는 타사 애플리케이션에 문제가 발생할 수 있습니다.
비표준 위치의 레이블 지정 문제를 해결하기 위해 이러한 위치에 대한 파일 컨텍스트 균형을 구성할 수 있습니다.
/my/apps
및/
디렉터리에 대한 파일 컨텍스트 균형을 구성합니다.# semanage fcontext -a -e / /my/apps
SELinux 정책의 로컬 사용자 정의를 나열하여 파일 컨텍스트 균형을 확인합니다.
# semanage fcontext -l -C SELinux Local fcontext Equivalence /my/apps = /
/my/apps
의 컨텍스트를 기본값으로 복원하여 이제/
:의 컨텍스트와 동일합니다.# restorecon -Rv /my/apps restorecon reset /my/apps context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:root_t:s0 restorecon reset /my/apps/bin context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:bin_t:s0 restorecon reset /my/apps/bin/executable context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:bin_t:s0
이 방법은 비표준 위치에 설치된 대부분의 파일과 디렉터리에 올바른 레이블을 할당하므로 일부 실행 파일에 의해 시작된 프로세스에 올바르게 레이블이 지정됩니다.
파일 컨텍스트 균형을 제거하려면 다음 명령을 사용합니다.
# semanage fcontext -d -e / /my/apps
-
자세한 내용은
semanage-fcontext
매뉴얼 페이지를 참조하십시오.
8.6.4. SELinux 부울 변경
8.6.4.1. 새로운 SELinux 부울값
이번 SELinux 시스템 정책 업데이트로 다음과 같은 부울 값이 도입되었습니다.
-
colord_use_nfs
-
deny_bluetooth
-
httpd_use_opencryptoki
-
logrotate_use_fusefs
-
mysql_connect_http
-
pdns_can_network_connect_db
-
ssh_use_tcpd
-
sslh_can_bind_any_port
-
sslh_can_connect_any_port
-
tor_can_onion_services
-
unconfined_dyntrans_all
-
use_virtualbox
-
virt_sandbox_share_apache_content
-
virt_use_pcscd
8.6.4.2. SELinux 부울 제거
RHEL 8 SELinux 정책은 이전 릴리스에서 사용 가능한 다음과 같은 부울을 제공하지 않습니다.
-
container_can_connect_any
-
ganesha_use_fusefs
8.6.4.3. 기본값 변경
RHEL 8에서는 다음 SELinux 부울이 이전 릴리스와 다른 기본값으로 설정됩니다.
-
domain_can_mmap_files
는 기본적으로꺼져
있습니다. -
httpd_graceful_shutdown
은 기본적으로꺼져
있습니다. -
mozilla_plugin_can_network_connect
는 기본적으로 설정되어 있습니다. -
named_write_master_zones
가 기본적으로 설정되어있습니다
.
또한 안티바이러스_use_jit 및
부울에 대한 설명이 변경되었습니다.
ssh_
chroot_rw_homedirs
의미를 포함한 부울 목록을 가져오고 해당 항목이 활성화되어 있는지 확인하려면 selinux-policy-devel
패키지를 설치하고 다음을 사용합니다.
# semanage boolean -l
8.6.5. SELinux 포트 유형 변경
RHEL 8 SELinux 정책은 다음과 같은 추가 포트 유형을 제공합니다.
-
appswitch_emp_port_t
-
babel_port_t
-
bfd_control_port_t
-
conntrackd_port_t
-
firepower_port_t
-
nmea_port_t
-
nsca_port_t
-
openqa_port_t
-
openqa_websockets_port_t
-
priority_e_com_port_t
-
qpasa_agent_port_t
-
rkt_port_t
-
smntubootstrap_port_t
-
statsd_port_t
-
versa_tek_port_t
또한 dns_port_t
및 ephemeral_port_t
포트 유형의 정의가 변경되었으며 gluster_port_t
포트 유형이 제거되었습니다.
8.6.6. sesearch
사용의 변경 사항
-
sesearch
명령은 더 이상-C
옵션을 사용하지 않으며 조건부 표현식을 포함해야 합니다. -T
,--type
옵션이 다음과 같이 변경되었습니다.-
-
t ,--type_trans
- type_transition 규칙을 찾습니다. -
--type_member
- type_member 규칙을 찾습니다. -
--type_change
- type_change 규칙을 찾습니다.
-