9장. 보안 정책 적용
인플레이스 업그레이드 프로세스 중에 특정 보안 정책을 비활성화 상태로 유지해야 합니다. 또한 RHEL 8에서는 시스템 전체 암호화 정책의 새로운 개념을 도입하고 보안 프로필에 주요 릴리스 간의 변경 사항이 포함될 수 있습니다. 시스템을 보다 안전하게 보호하려면 SELinux를 강제 모드로 전환하고 시스템 전체 암호화 정책을 설정합니다. 특정 보안 프로필을 준수하도록 시스템을 수정하고자 할 수도 있습니다.
9.1. SELinux 모드를 강제 모드로 변경
인플레이스 업그레이드 프로세스 중에 Leapp
유틸리티는 SELinux 모드를 허용으로 설정합니다. 시스템이 성공적으로 업그레이드되면 SELinux 모드를 강제로 수동으로 변경해야 합니다.
사전 요구 사항
- 시스템이 업그레이드되었으며 RHEL 8 시스템의 후 업그레이드 상태 확인에 설명된 확인을 수행했습니다.
절차
예를 들어
ausearch
유틸리티를 사용하여 SELinux 거부가 없는지 확인합니다.# ausearch -m AVC,USER_AVC -ts boot
이전 단계에서는 가장 일반적인 시나리오만 처리됩니다. 가능한 모든 SELinux 거부를 확인하려면 전체 절차를 제공하는 SELinux 사용의 SELinux 거부 확인 섹션을 참조하십시오.
선택한 텍스트 편집기에서
/etc/selinux/config
파일을 엽니다. 예를 들면 다음과 같습니다.# vi /etc/selinux/config
SELINUX=enforcing
옵션을 구성합니다.# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
변경 사항을 저장하고 시스템을 다시 시작하십시오.
# reboot
검증
시스템을 다시 시작한 후
getenforce
명령이Enforcing
을 반환하는지 확인합니다.$ getenforce Enforcing