6.2. MLS에서 SELinux 역할
SELinux 정책은 각 Linux 사용자를 SELinux 사용자에게 매핑합니다. 이를 통해 Linux 사용자는 SELinux 사용자의 제한을 상속할 수 있습니다.
MLS 정책에는 제한되지 않은 사용자, 유형 및 역할을 포함하여 제한되지 않은 모듈이 포함되어 있지 않습니다. 그 결과 root 를 포함한 제한되지 않은 사용자는 모든 오브젝트에 액세스할 수 없으며 목표 정책에서 수행할 수 있는 모든 작업을 수행할 수 없습니다.
정책의 부울을 조정하여 특정 요구 사항에 따라 SELinux 정책에서 제한된 사용자에 대한 권한을 사용자 지정할 수 있습니다. semanage boolean -l 명령을 사용하여 이러한 부울의 현재 상태를 확인할 수 있습니다. 모든 SELinux 사용자, SELinux 역할, MLS/MCS 수준 및 범위를 나열하려면 semanage user -l 명령을 root 로 사용합니다.
| 사용자 | 기본 역할 | 추가 역할 |
|---|---|---|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
|
system_u 는 시스템 프로세스 및 개체의 특수 사용자 ID이며 system_r 은 관련 역할입니다. 관리자는 이 system _u 사용자와 역할을 Linux 사용자에게 연결해서는 안 됩니다. 또한 system_ runconfined_u 및 root 는 제한되지 않은 사용자입니다. 이러한 이유로 이러한 SELinux 사용자와 연결된 역할은 다음 표 유형 및 SELinux 역할에 대한 액세스에 포함되지 않습니다.
각 SELinux 역할은 SELinux 유형에 해당하며 특정 액세스 권한을 제공합니다.
| Role | 유형 | X 윈도우 시스템을 사용하여 로그인 | su 및 sudo | 홈 디렉토리 및 /tmp 에서 실행 (기본값) | 네트워킹 |
|---|---|---|---|---|---|
|
|
| 아니요 | 아니요 | 제공됨 | 아니요 |
|
|
| 제공됨 | 아니요 | 제공됨 | 웹 브라우저만 해당 (Firefox, GNOME Web) |
|
|
| 제공됨 | 아니요 | 제공됨 | 제공됨 |
|
|
| 제공됨 |
| 제공됨 | 제공됨 |
|
|
| 제공됨 | 제공됨 | 제공됨 | |
|
|
| 제공됨 | 제공됨 | 제공됨 | |
|
|
|
| 제공됨 | 제공됨 | 제공됨 |
-
기본적으로 HEALTH
_r역할에는secadm_r역할의 권한이 있습니다. 즉, sensitive_r역할의 사용자는 보안 정책을 관리할 수 있습니다. 사용 사례와 일치하지 않는 경우 정책에서sysadm_secadm모듈을 비활성화하여 두 역할을 분리할 수 있습니다. 자세한 내용은 MLS의 보안 관리에서 시스템 관리 분리를 참조하십시오. -
로그인이 아닌 역할
dbadm_r,logadm_r및webadm_r은 관리 작업의 하위 집합에 사용할 수 있습니다. 기본적으로 이러한 역할은 SELinux 사용자와 연결되어 있지 않습니다.
