6.2. MLS의 SELinux 역할
SELinux 정책은 각 Linux 사용자를 SELinux 사용자에게 매핑합니다. 이를 통해 Linux 사용자는 SELinux 사용자의 제한을 상속할 수 있습니다.
MLS 정책에는 제한되지 않은 사용자, 유형 및 역할을 포함하여 제한되지 않은 모듈이 포함되어 있지 않습니다. 결과적으로 root 를 포함하여 제한되지 않은 사용자는 모든 오브젝트에 액세스할 수 없으며 대상 정책에서 수행할 수 있는 모든 조치를 수행할 수 없습니다.
정책의 부울을 조정하여 특정 요구 사항에 따라 SELinux 정책에서 제한된 사용자에 대한 권한을 사용자 지정할 수 있습니다. semanage boolean -l 명령을 사용하여 이러한 부울의 현재 상태를 확인할 수 있습니다. 모든 SELinux 사용자, SELinux 역할, MLS/MCS 수준 및 범위를 나열하려면 semanage user -l 명령을 root 로 사용합니다.
| 사용자 | 기본 역할 | 추가 역할 |
|---|---|---|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
|
system_u 는 시스템 프로세스 및 오브젝트의 특수 사용자 ID이며 system_r 은 연결된 역할입니다. 관리자는 이 system_u 사용자와 system_r 역할을 Linux 사용자와 연결하지 않아야 합니다. 또한 unconfined_u 및 root 는 제한되지 않은 사용자입니다. 이러한 이유로 이러한 SELinux 사용자와 관련된 역할은 다음 표의 SELinux 역할에 포함되지 않습니다.
각 SELinux 역할은 SELinux 유형에 해당하며 특정 액세스 권한을 제공합니다.
| 역할 | 유형 | X Window System을 사용하여 로그인 | Su 및 sudo | 홈 디렉토리 및 /tmp (기본값)에서 실행 | 네트워킹 |
|---|---|---|---|---|---|
|
|
| 제공되지 않음 | 제공되지 않음 | 제공됨 | 제공되지 않음 |
|
|
| 제공됨 | 제공되지 않음 | 제공됨 | 웹 브라우저만 (Fire Firefox, GNOME 웹) |
|
|
| 제공됨 | 제공되지 않음 | 제공됨 | 제공됨 |
|
|
| 제공됨 |
| 제공됨 | 제공됨 |
|
|
| 제공됨 | 제공됨 | 제공됨 | |
|
|
| 제공됨 | 제공됨 | 제공됨 | |
|
|
|
| 제공됨 | 제공됨 | 제공됨 |
-
기본적으로 HEALTH
_r역할에는secadm_r역할의 권한이 있습니다. 즉, sensitive_r역할의 사용자는 보안 정책을 관리할 수 있습니다. 이 사용 사례와 일치하지 않는 경우 정책에서 RuntimeClass_secadm 모듈을 비활성화하여 두역할을 분리할 수 있습니다. 자세한 내용은 MLS의 보안 관리에서 시스템 관리 분리를 참조하십시오. -
비로그인 역할
dbadm_r,logadm_r,webadm_r는 관리 작업의 하위 집합에 사용할 수 있습니다. 기본적으로 이러한 역할은 SELinux 사용자와 연결되지 않습니다.
