6.10. MLS 사용자가 더 낮은 수준에서 파일을 편집 가능
기본적으로 MLS 사용자는 클리어스 범위의 낮은 값보다 민감도 수준이 있는 파일에 쓸 수 없습니다. 사용자가 더 낮은 수준에서 파일을 편집하도록 허용하는 경우 로컬 SELinux 모듈을 생성하여 이를 수행할 수 있습니다. 그러나 파일에 쓰는 경우 민감도 수준이 사용자의 현재 범위보다 낮은 값으로 증가합니다.
사전 요구 사항
-
SELinux 정책은
mls로 설정됩니다. -
SELinux 모드는
강제모드로 설정되어 있습니다. -
policycoreutils-python-utils패키지가 설치됩니다. -
확인을 위한
setools-console및감사패키지.
절차
선택 사항: 문제 해결을 위해 허용 모드로 전환합니다.
# setenforce 0텍스트 편집기로 새
.cil파일(예:~/local_mlsfilewrite.cil)을 열고 다음 사용자 지정 규칙을 삽입합니다.(typeattributeset mlsfilewrite (_staff_t_))
staff_t를 다른 SELinux 유형으로 교체할 수 있습니다. SELinux 유형을 지정하면 하위 수준 파일을 편집할 수 있는 SELinux 역할을 제어할 수 있습니다.로컬 모듈을 더 잘 정리하려면 로컬 SELinux 정책 모듈의 이름에
local_접두사를 사용합니다.policy 모듈을 설치합니다.
# semodule -i ~/local_mlsfilewrite.cil참고로컬 정책 모듈을 제거하려면
semodule -r ~/local_mlsfilewrite를 사용합니다..cil접미사 없이 모듈 이름을 참조해야 합니다.선택 사항: 이전에 허용 모드로 다시 전환한 경우 강제 모드로 돌아갑니다.
# setenforce 1
검증
설치된 SELinux 모듈 목록에서 로컬 모듈을 찾습니다.
# semodule -lfull | grep "local_mls" 400 local_mlsfilewrite cil로컬 모듈에는 우선 순위가
400이므로semodule -lfull | grep -v ^100명령을 사용하여 나열할 수도 있습니다.-
사용자 지정 규칙에 정의된 유형에 할당된 사용자로 로그인합니다(예:
staff_t). 민감도 수준이 낮은 파일에 쓰기를 시도합니다. 이렇게 하면 파일의 분류 수준이 사용자의 명확한 수준으로 증가합니다.
중요확인에 사용하는 파일에는 구성이 올바르지 않은 경우 중요한 정보가 포함되어 있지 않아야 하며 사용자가 실제로 권한 부여 없이 파일에 액세스할 수 있습니다.
