1.2. SELinux 실행의 이점
SELinux는 다음과 같은 이점을 제공합니다.
- 모든 프로세스와 파일에 레이블이 지정됩니다. SELinux 정책 규칙은 프로세스가 파일과 상호 작용하는 방법과 프로세스가 서로 상호 작용하는 방식을 정의합니다. 액세스를 구체적으로 허용하는 SELinux 정책 규칙이 있는 경우에만 액세스가 허용됩니다.
- SELinux는 세분화된 액세스 제어를 제공합니다. 사용자 재량에 따라 제어되는 기존 UNIX 권한을 벗어나 Linux 사용자 및 그룹 ID를 기반으로 하는 SELinux 액세스 결정은 SELinux 사용자, 역할, 유형 및 필요에 따라 보안 수준과 같은 모든 사용 가능한 정보를 기반으로 합니다.
- SELinux 정책은 관리로 정의되며 시스템 전체에서 강제 적용됩니다.
- SELinux는 권한 에스컬레이션 공격을 완화할 수 있습니다. 프로세스는 도메인에서 실행되며 서로 분리되어 있습니다. SELinux 정책 규칙은 프로세스가 파일 및 기타 프로세스에 액세스하는 방법을 정의합니다. 프로세스가 손상되면 공격자는 해당 프로세스의 일반 기능에만 액세스하고 프로세스가 액세스할 수 있도록 구성된 파일에만 액세스할 수 있습니다. 예를 들어 Apache HTTP Server가 손상된 경우, 공격자는 이러한 액세스를 허용하도록 특정 SELinux 정책 규칙을 추가하거나 구성하지 않는 한 사용자 홈 디렉터리의 파일을 읽기 위해 해당 프로세스를 사용할 수 없습니다.
- SELinux는 데이터 기밀성과 무결성을 강제 적용할 수 있으며 신뢰할 수 없는 입력에서 프로세스를 보호할 수 있습니다.
SELinux는 안티바이러스 소프트웨어, 보안 암호, 방화벽 또는 기타 보안 시스템을 대체하지 않고 기존 보안 솔루션을 개선하도록 설계되었습니다. SELinux를 실행하는 경우에도 하드 추측 암호 및 방화벽을 사용하여 소프트웨어를 최신 상태로 유지하는 등 우수한 보안 관행을 계속 따르는 것이 중요합니다.