3.7. SELinux에서 일반 사용자 제한


시스템에 있는 모든 일반 사용자를 user_u SELinux 사용자에게 매핑하여 제한할 수 있습니다.

기본적으로 관리 권한이 있는 사용자를 포함하여 Red Hat Enterprise Linux의 모든 Linux 사용자는 제한되지 않은 SELinux 사용자 unconfined_u 에 매핑됩니다. SELinux 제한 사용자에게 사용자를 할당하여 시스템의 보안을 개선할 수 있습니다. 이는 V-71971 보안 기술 구현 가이드 를 준수하는 데 유용합니다.

절차

  1. SELinux 로그인 레코드 목록을 표시합니다. 이 목록에는 Linux 사용자의 매핑이 SELinux 사용자에게 표시됩니다.

    # semanage login -l
    
    Login Name    SELinux User  MLS/MCS Range   Service
    
    __default__   unconfined_u  s0-s0:c0.c1023       *
    root          unconfined_u  s0-s0:c0.c1023       *
  2. 명시적 매핑 없이 모든 사용자를 user_u SELinux 사용자에게 매핑하는 __default__ 사용자를 매핑합니다.

    # semanage login -m -s user_u -r s0 __default__

검증

  1. __default__ 사용자가 user_u SELinux 사용자에게 매핑되었는지 확인합니다.

    # semanage login -l
    
    Login Name    SELinux User   MLS/MCS Range    Service
    
    __default__   user_u         s0               *
    root          unconfined_u   s0-s0:c0.c1023   *
  2. user_u:user_r:user_t:s0 SELinux 컨텍스트에서 새 사용자의 프로세스가 실행되는지 확인합니다.

    1. 새 사용자를 생성합니다.

      # adduser <example_user>
    2. 다음과 같은 암호를 정의합니다 <example_user>.

      # passwd <example_user>
    3. root 로 로그아웃하고 새 사용자로 로그인합니다.
    4. 사용자 ID의 보안 컨텍스트를 표시합니다.

      [<example_user>@localhost ~]$ id -Z
      user_u:user_r:user_t:s0
    5. 사용자 현재 프로세스의 보안 컨텍스트를 표시합니다.

      [<example_user>@localhost ~]$ ps axZ
      LABEL                           PID TTY      STAT   TIME COMMAND
      -                                 1 ?        Ss     0:05 /usr/lib/systemd/systemd --switched-root --system --deserialize 18
      -                              3729 ?        S      0:00 (sd-pam)
      user_u:user_r:user_t:s0        3907 ?        Ss     0:00 /usr/lib/systemd/systemd --user
      -                              3911 ?        S      0:00 (sd-pam)
      user_u:user_r:user_t:s0        3918 ?        S      0:00 sshd: <example_user>@pts/0
      user_u:user_r:user_t:s0        3922 pts/0    Ss     0:00 -bash
      user_u:user_r:user_dbusd_t:s0  3969 ?        Ssl    0:00 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only
      user_u:user_r:user_t:s0        3971 pts/0    R+     0:00 ps axZ
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.