6.9. MLS에서 보안 터미널 정의
SELinux 정책은 사용자가 연결된 터미널 유형을 확인하고, 예를 들어 newrole
과 같이 보안 터미널에서만 특정 SELinux 애플리케이션을 실행할 수 있습니다. 비보안 터미널에서 이 작업을 시도하면 오류가 발생합니다. 오류: 보안 이외의 터미널에서 수준을 변경할 수 없습니다.
.
/etc/selinux/mls/contexts/securetty_types
파일은 MLS(Multi-Level Security) 정책에 대한 보안 터미널을 정의합니다.
파일의 기본 콘텐츠:
console_device_t sysadm_tty_device_t user_tty_device_t staff_tty_device_t auditadm_tty_device_t secureadm_tty_device_t
보안 터미널 목록에 터미널 유형을 추가하면 시스템이 보안 위험에 노출될 수 있습니다.
사전 요구 사항
-
SELinux 정책은
mls
로 설정됩니다. - 이미 보안된 터미널에서 연결되어 있거나 SELinux가 허용 모드에 있습니다.
보안 관리 권한이 있습니다. 즉, 다음 중 하나에 할당됨을 의미합니다.
-
head
adm_r
역할입니다. -
tekton
_secadm
모듈이 활성화된 경우, to thetekton_r 역할로
설정합니다. RuntimeClass_secadm
모듈은 기본적으로 활성화되어 있습니다.
-
head
-
policycoreutils-python-utils
패키지가 설치됩니다.
절차
현재 터미널 유형을 확인합니다.
# ls -Z `tty` root:object_r:user_devpts_t:s0 /dev/pts/0
이 예제 출력에서
user_devpts_t
는 현재 터미널 유형입니다.-
/etc/selinux/mls/contexts/securetty_types
파일의 새 행에 관련 SELinux 유형을 추가합니다. 선택 사항: SELinux를 강제 모드로 전환합니다.
# setenforce 1
검증
-
이전에 안전하지 않은 터미널에서
/etc/selinux/mls/contexts/securetty_types
파일에 추가했습니다.
추가 리소스
-
시스템의
securetty_types(5)
도움말 페이지