3.4. SELinux에서 제한된 관리자 역할


SELinux에서 제한된 관리자 역할은 할당된 Linux 사용자에게 특정 작업을 수행할 수 있는 특정 권한 및 권한을 부여합니다. 제한된 별도의 관리자 역할을 할당하면 다양한 시스템 관리 영역에 따라 권한을 개별 사용자에게 나눌 수 있습니다. 이 기능은 각각 별도의 도메인이 있는 여러 관리자가 있는 시나리오에서 유용합니다.

semanage user 명령을 사용하여 SELinux 사용자에게 이러한 역할을 할당할 수 있습니다.

SELinux에는 다음과 같은 제한된 관리자 역할이 있습니다.

auditadm_r

감사 관리자 역할을 사용하면 감사 하위 시스템과 관련된 프로세스를 관리할 수 있습니다.

관련 부울:

SELinux boolean                State  Default Description
auditadm_exec_content          (on   ,   on)  Allow auditadm to exec content
dbadm_r

데이터베이스 관리자 역할을 통해 MariaDB 및 PostgreSQL 데이터베이스를 관리할 수 있습니다.

관련 부울:

SELinux boolean                State  Default Description
dbadm_exec_content             (on   ,   on)  Allow dbadm to exec content
dbadm_manage_user_files        (off  ,  off)  Determine whether dbadm can manage generic user files.
dbadm_read_user_files          (off  ,  off)  Determine whether dbadm can read generic user files.
logadm_r

로그 관리자 역할을 사용하면 Rsyslog 로깅 서비스 및 감사 하위 시스템과 관련된 로그, 특히 SELinux 유형을 관리할 수 있습니다.

관련 부울:

SELinux boolean                State  Default Description
logadm_exec_content            (on   ,   on)  Allow logadm to exec content
webadm_r

웹 관리자는 Apache HTTP Server를 관리할 수 있습니다.

관련 부울:

SELinux boolean                State  Default Description
webadm_manage_user_files       (off  ,  off)  Determine whether webadm can manage generic user files.
webadm_read_user_files         (off  ,  off)  Determine whether webadm can read generic user files.
secadm_r

보안 관리자 역할을 통해 SELinux 데이터베이스를 관리할 수 있습니다.

관련 부울:

SELinux boolean                State  Default Description
secadm_exec_content            (on   ,   on)  Allow secadm to exec content
sysadm_r

시스템 관리자 역할을 사용하면 이전에 나열된 역할의 모든 작업을 수행할 수 있으며 추가 권한이 있습니다. 기본이 아닌 구성에서는 SELinux 정책에서 sysadm_secadm 모듈을 비활성화하여 보안 관리를 시스템 관리와 분리할 수 있습니다. 자세한 내용은 MLS의 보안 관리에서 시스템 관리 분리를 참조하십시오.

ca _u 사용자는 SSH를 사용하여 직접 로그인할 수 없습니다. OSSM _u 대한 SSH 로그인을 활성화하려면 ssh_sysadm_login 부울을 다음과 같이 설정합니다.

# setsebool -P ssh_sysadm_login on

관련 부울:

SELinux boolean                State  Default Description
ssh_sysadm_login               (on   ,   on)  Allow ssh logins as sysadm_r:sysadm_t
sysadm_exec_content            (on   ,   on)  Allow sysadm to exec content
xdm_sysadm_login               (on   ,   on)  Allow the graphical login program to login directly as sysadm_r:sysadm_t

추가 리소스

  • 제한된 관리자 역할에 Linux 사용자를 할당하려면 sysadm_u 에 매핑하여 관리자 관계를 참조하십시오.
  • 각 역할 및 관련 유형에 대한 자세한 내용은 selinux-policy-doc 패키지로 설치된 관련 도움말 페이지를 참조하십시오.

    auditadm_selinux(8), dbadm_selinux(8), logadm_selinux(8), webadm_selinux(8), secadm_selinux(8), sysadm_selinux(8)

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.