3.7. SELinux에서 일반 사용자 제한
시스템에 있는 모든 일반 사용자를 user_u
SELinux 사용자에게 매핑하여 제한할 수 있습니다.
기본적으로 관리 권한이 있는 사용자를 포함하여 Red Hat Enterprise Linux의 모든 Linux 사용자는 제한되지 않은 SELinux 사용자 unconfined_u
에 매핑됩니다. SELinux 제한 사용자에게 사용자를 할당하여 시스템의 보안을 개선할 수 있습니다. 이는 V-71971 보안 기술 구현 가이드 를 준수하는 데 유용합니다.
절차
SELinux 로그인 레코드 목록을 표시합니다. 이 목록에는 Linux 사용자의 매핑이 SELinux 사용자에게 표시됩니다.
# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 *
명시적 매핑 없이 모든 사용자를
user_u
SELinux 사용자에게 매핑하는__default__
사용자를 매핑합니다.# semanage login -m -s user_u -r s0 __default__
검증
__default__
사용자가user_u
SELinux 사용자에게 매핑되었는지 확인합니다.# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ user_u s0 * root unconfined_u s0-s0:c0.c1023 *
user_u:user_r:user_t:s0
SELinux 컨텍스트에서 새 사용자의 프로세스가 실행되는지 확인합니다.새 사용자를 생성합니다.
# adduser <example_user>
다음과 같은 암호를 정의합니다
<example_user>
.# passwd <example_user>
-
root
로 로그아웃하고 새 사용자로 로그인합니다. 사용자 ID의 보안 컨텍스트를 표시합니다.
[<example_user>@localhost ~]$ id -Z user_u:user_r:user_t:s0
사용자 현재 프로세스의 보안 컨텍스트를 표시합니다.
[<example_user>@localhost ~]$ ps axZ LABEL PID TTY STAT TIME COMMAND - 1 ? Ss 0:05 /usr/lib/systemd/systemd --switched-root --system --deserialize 18 - 3729 ? S 0:00 (sd-pam) user_u:user_r:user_t:s0 3907 ? Ss 0:00 /usr/lib/systemd/systemd --user - 3911 ? S 0:00 (sd-pam) user_u:user_r:user_t:s0 3918 ? S 0:00 sshd: <example_user>@pts/0 user_u:user_r:user_t:s0 3922 pts/0 Ss 0:00 -bash user_u:user_r:user_dbusd_t:s0 3969 ? Ssl 0:00 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only user_u:user_r:user_t:s0 3971 pts/0 R+ 0:00 ps axZ