6.7. MLS에서 파일 민감도 변경
MLS SELinux 정책에서 사용자는 자체 민감도 수준에서 파일만 수정할 수 있습니다. 이는 매우 민감한 정보가 낮은 수준의 사용자에게 노출되는 것을 방지하기 위한 것입니다. 또한, 사용량이 낮은 사용자가 높은 민감도 문서를 생성하는 것을 방지하기 위한 것입니다. 그러나 관리자는 파일을 높은 수준에서 처리하기 위해 파일의 분류를 수동으로 늘릴 수 있습니다.
사전 요구 사항
-
SELinux 정책이
mls로 설정됨. - SELinux 모드가 enforcing으로 설정됩니다.
보안 관리 권한이 있으므로 다음 중 하나에 할당됩니다.
-
secadm_r역할. -
sysadm_secadm모듈이 활성화된 경우sysadm_r역할에 액세스합니다.sysadm_secadm모듈은 기본적으로 활성화되어 있습니다.
-
-
policycoreutils-python-utils패키지가 설치되어 있습니다. 모든 레벨에 할당된 사용자. 자세한 내용은 MLS에서 사용자 설정 수준을 참조하십시오.
이 예제에서
User1의 수준은s1입니다.분류 수준이 할당되고 사용자가 액세스할 수 있는 파일.
이 예에서
/path/to/file의 분류 수준은s1입니다.
절차
파일의 분류 수준을 확인합니다.
# ls -lZ /path/to/file -rw-r-----. 1 User1 User1 user_u:object_r:user_home_t:s1 0 12. Feb 10:43 /path/to/file
파일의 기본 분류 수준을 변경합니다.
# semanage fcontext -a -r s2 /path/to/file파일의 SELinux 컨텍스트 레이블을 강제 다시 지정합니다.
# restorecon -F -v /path/to/file Relabeled /path/to/file from user_u:object_r:user_home_t:s1 to user_u:object_r:user_home_t:s2
검증
파일의 분류 수준을 확인합니다.
# ls -lZ /path/to/file -rw-r-----. 1 User1 User1 user_u:object_r:user_home_t:s2 0 12. Feb 10:53 /path/to/file
선택 사항: 소문자로 된 사용자가 파일을 읽을 수 없는지 확인합니다.
$ cat /path/to/file cat: file: Permission denied
추가 리소스
