7.4. MCS의 사용자에게 카테고리 할당
Linux 사용자에게 카테고리를 할당하여 사용자 권한을 정의할 수 있습니다. 할당된 카테고리가 있는 사용자는 사용자 카테고리의 하위 집합이 있는 파일에 액세스하고 수정할 수 있습니다. 사용자는 또한 할당된 카테고리에 소유한 파일을 할당할 수 있습니다.
Linux 사용자는 관련 SELinux 사용자에게 정의된 보안 범위를 벗어나는 카테고리에 할당할 수 없습니다.
카테고리 액세스 권한은 로그인 중에 할당됩니다. 따라서 사용자는 다시 로그인할 때까지 새로 할당된 카테고리에 액세스할 수 없습니다. 마찬가지로 카테고리에 대한 사용자의 액세스를 취소하는 경우 사용자가 다시 로그인한 후에만 적용됩니다.
사전 요구 사항
-
SELinux 모드는
enforcing
으로 설정됩니다. -
SELinux 정책은
targeted
또는mls
로 설정됩니다. -
policycoreutils-python-utils
패키지가 설치되어 있습니다. Linux 사용자는 SELinux 제한 사용자에게 할당됩니다.
-
권한이 없는 사용자는
user_u
에 할당됩니다. -
권한 있는 사용자는
staff_u
에 할당됩니다.
-
권한이 없는 사용자는
절차
SELinux 사용자의 보안 범위를 정의합니다.
# semanage user -m -rs0:c0,c1-s0:c0.c9 <user_u>
setrans.conf
파일에 정의된 범주 번호c0
에서c1023
또는 카테고리 라벨을 사용합니다. 자세한 내용은 MCS의 카테고리 라벨 정의를 참조하십시오.Linux 사용자에게 MCS 카테고리를 할당합니다. 관련 SELinux 사용자에게 정의된 범위 내에서 범위만 지정할 수 있습니다.
# semanage login -m -rs0:c1 <Linux.user1>
참고chcat
명령을 사용하여 Linux 사용자로부터 카테고리를 추가하거나 제거할 수 있습니다. 다음 예제에서는<category1>
을 추가하고<Linux.user1>
및<Linux.user2>
에서<category2>
를 제거합니다.# chcat -l -- +<category1>,-<category2> <Linux.user1>,<Linux.user2>
- <category
> 구문을 사용하기 전에 명령줄에서--
를 지정해야 합니다. 그렇지 않으면chcat
명령은 카테고리 제거를 명령 옵션으로 잘못 해석합니다.
검증
Linux 사용자에게 할당된 카테고리 나열:
# chcat -L -l <Linux.user1>,<Linux.user2> <Linux.user1>: <category1>,<category2> <Linux.user2>: <category1>,<category2>
추가 리소스
-
chcat(8)
도움말 페이지