7.5. MCS의 파일에 카테고리 할당
사용자에게 카테고리를 할당하려면 관리자 권한이 필요합니다. 그러면 사용자는 파일에 카테고리를 할당할 수 있습니다. 파일 카테고리를 수정하려면 사용자는 해당 파일에 대한 액세스 권한이 있어야 합니다. 사용자는 파일에 할당된 카테고리에만 할당할 수 있습니다.
이 시스템은 카테고리 액세스 규칙과 기존 파일 액세스 권한을 결합합니다. 예를 들어,
카테고리가 있는 사용자가 Discretionary Access Control (DAC)을 사용하여 다른 사용자가 파일에 대한 액세스를 차단하면 다른 사용자는 해당 파일에 액세스할 수 없습니다. 사용 가능한 모든 카테고리에 할당된 사용자는 전체 파일 시스템에 액세스하지 못할 수 있습니다.
bigfoot
사전 요구 사항
-
SELinux 모드는
enforcing
으로 설정됩니다. -
SELinux 정책은
targeted
또는mls
로 설정됩니다. -
policycoreutils-python-utils
패키지가 설치되어 있습니다. Linux 사용자에게 액세스 및 사용 권한:
- SELinux 사용자에게 할당됩니다.
- 파일을 할당할 카테고리에 할당됩니다. 자세한 내용은 MCS의 사용자에게 카테고리 할당을 참조하십시오.
- 카테고리에 추가하려는 파일에 대한 액세스 및 사용 권한.
- 확인 목적의 경우: 이 카테고리에 할당되지 않은 Linux 사용자에게 액세스 및 사용 권한
절차
파일에 카테고리 추가:
$ chcat -- +<category1>,+<category2> <path/to/file1>
setrans.conf
파일에 정의된 범주 번호c0
에서c1023
또는 카테고리 라벨을 사용합니다. 자세한 내용은 MCS의 카테고리 라벨 정의를 참조하십시오.동일한 구문을 사용하여 파일에서 카테고리를 제거할 수 있습니다.
$ chcat -- -<category1>,-<category2> <path/to/file1>
참고범주를 제거할 때
-<category>
구문을 사용하기 전에 명령줄에서--
를 지정해야 합니다. 그렇지 않으면chcat
명령은 카테고리 제거를 명령 옵션으로 잘못 해석합니다.
검증
파일의 보안 컨텍스트를 표시하여 올바른 카테고리가 있는지 확인합니다.
$ ls -lZ <path/to/file> -rw-r--r-- <LinuxUser1> <Group1> root:object_r:user_home_t:_<sensitivity>_:_<category>_ <path/to/file>
파일의 특정 보안 컨텍스트는 다를 수 있습니다.
선택 사항: 파일과 동일한 카테고리에 할당되지 않은 Linux 사용자로 로그인할 때 파일 액세스를 시도합니다.
$ cat <path/to/file> cat: <path/to/file>: Permission Denied
추가 리소스
-
semanage(8)
및chcat(8)
도움말 페이지