6.10. MLS 사용자가 더 낮은 수준에서 파일을 편집 가능
기본적으로 MLS 사용자는 클리어스 범위의 낮은 값보다 민감도 수준이 있는 파일에 쓸 수 없습니다. 사용자가 더 낮은 수준에서 파일을 편집하도록 허용하는 경우 로컬 SELinux 모듈을 생성하여 이를 수행할 수 있습니다. 그러나 파일에 쓰는 경우 민감도 수준이 사용자의 현재 범위보다 낮은 값으로 증가합니다.
사전 요구 사항
-
SELinux 정책은
mls로 설정됩니다. -
SELinux 모드는
enforcing으로 설정됩니다. -
policycoreutils-python-utils패키지가 설치되어 있습니다. -
확인을 위한
setools-console및감사패키지입니다.
절차
선택 사항: 문제 해결을 위해 허용 모드로 전환합니다.
# setenforce 0텍스트 편집기로 새
.cil파일(예:~/local_mlsfilewrite.cil)을 열고 다음 사용자 지정 규칙을 삽입합니다.(typeattributeset mlsfilewrite (_staff_t_))
staff_t를 다른 SELinux 유형으로 교체할 수 있습니다. SELinux 유형을 지정하면 하위 수준 파일을 편집할 수 있는 SELinux 역할을 제어할 수 있습니다.로컬 모듈을 더 잘 정리하려면 로컬 SELinux 정책 모듈의 이름에
local_접두사를 사용합니다.policy 모듈을 설치합니다.
# semodule -i ~/local_mlsfilewrite.cil참고로컬 정책 모듈을 제거하려면
semodule -r ~/local_mlsfilewrite를 사용합니다..cil접미사 없이 모듈 이름을 참조해야 합니다.선택 사항: 이전에 허용 모드로 다시 전환한 경우 강제 모드로 돌아갑니다.
# setenforce 1
검증
설치된 SELinux 모듈 목록에서 로컬 모듈을 찾습니다.
# semodule -lfull | grep "local_mls" 400 local_mlsfilewrite cil로컬 모듈에는 우선 순위가
400이므로semodule -lfull | grep -v ^100명령을 사용하여 나열할 수도 있습니다.-
사용자 지정 규칙에 정의된 유형에 할당된 사용자로 로그인합니다(예:
staff_t). 민감도 수준이 낮은 파일에 쓰기를 시도합니다. 이렇게 하면 파일의 분류 수준이 사용자의 명확한 수준으로 증가합니다.
중요구성이 잘못되어 사용자가 실제로 권한 없이 파일에 액세스할 수 있는 경우 중요한 정보를 확인하는 데 사용하는 파일에 중요한 정보가 포함되어서는 안 됩니다.
