SELinux에서 특정 포트를 차단하는 방법은 무엇인가요?

Q1: SELinux에서 특정 포트를 차단하는 목적은 무엇인가요?
A1: SELinux는 시스템 보안 정책을 통해 프로세스와 리소스 간의 접근을 제어합니다. 특정 포트를 차단하면, 해당 포트를 사용하는 네트워크 서비스나 애플리케이션이 SELinux 정책에 의해 제한되어 불필요하거나 위험한 네트워크 접근을 방지할 수 있습니다.

Q2: SELinux에서 기본적으로 포트 사용 권한은 어떻게 관리되나요?
A2: SELinux는 포트-도메인 매핑(port context)을 통해 어떤 프로세스가 어떤 포트를 사용할 수 있는지 결정합니다. 정책 파일에는 각 서비스가 사용할 수 있는 포트가 정의되어 있으며, 이 정의에 없는 포트는 기본적으로 차단됩니다.

Q3: SELinux에서 특정 포트를 차단하려면 어떻게 해야 하나요?
A3: SELinux는 포트를 차단하는 기능을 직접 제공하지 않지만, 특정 포트를 서비스에 할당하지 않거나 포트를 다른 서비스에서 제거하는 방법으로 간접 제어가 가능합니다.
주로 다음 방법을 사용합니다:
1. `semanage port` 명령어로 포트와 SELinux 도메인 간의 매핑을 확인 또는 수정
2. 특정 포트에 대한 SELinux 타입 레이블을 제거하거나 변경하여 접근을 제한
3. 정책을 커스터마이징 해 특정 도메인에서 포트 접근을 금지

Q4: 특정 포트를 SELinux에서 삭제(차단)하는 구체적인 방법은?
A4:
1. 현재 매핑된 포트 타입 확인:
```
semanage port -l | grep <포트번호>
```
2. 해당 포트 매핑 삭제:
```
semanage port -d -t <타입> -p tcp <포트번호>
``` 예)
```
semanage port -d -t http_port_t -p tcp 8080
```
-> 8080 포트에 대한 http_port_t 매핑 제거
3. 정책 재적용 후 해당 포트를 사용하는 서비스는 SELinux 제한을 받음

Q5: SELinux 정책에서 포트 차단이 아닌, 포트를 아예 사용 중지하고 싶으면?
A5: SELinux 정책 변경 외에도 방화벽(iptables, firewalld 등)에서 포트를 차단하는 것이 일반적입니다. SELinux는 보안 정책의 일환이며, 방화벽이 주로 포트 기반 네트워크 접근 제어를 담당합니다.

Q6: SELinux가 활성화된 상태에서 포트 변경 후 적용하려면?
A6: `semanage` 명령어로 포트 매핑을 변경한 후에는 자동으로 적용됩니다. 디버깅 시 `audit.log`를 참고하여 거부된 접근 기록을 확인할 수 있습니다. 필요시 `setenforce 0`으로 일시 해제 후 테스트 가능합니다.

Q7: 포트 사용 허가 추가는 어떻게 하나요?
A7: 포트를 새롭게 허용하려면,
```
semanage port -a -t <타입> -p tcp <포트번호>
```
명령어로 포트를 서비스 타입에 추가하면 됩니다.

---

요약하자면, SELinux에서 특정 포트를 차단하려면 해당 포트에 할당된 SELinux 타입 매핑을 `semanage port -d` 명령어로 삭제하거나 정책을 조정하여 해당 포트 접근 권한을 제한합니다. 하지만 네트워크 포트 접근 제어는 주로 방화벽과 함께 운용하는 것이 권장됩니다.

SELinux(Security-Enhanced Linux)는 리눅스 커널에 통합된 보안 모듈로, 시스템의 보안을 강화하기 위해 프로세스와 파일에 대한 접근 제어를 제공합니다.

SELinux는 기본적으로 정책 기반으로 작동하며, 특정 포트를 차단하거나 허용하는 등의 작업을 수행할 수 있습니다.

특정 포트를 차단하는 방법에 대해 자세히 설명하겠습니다.

1. SELinux 상태 확인 먼저, SELinux가 활성화되어 있는지 확인해야 합니다.

다음 명령어를 사용하여 SELinux의 상태를 확인할 수 있습니다.

```bash sestatus ``` 이 명령어를 실행하면 SELinux의 현재 상태(활성화, 비활성화, 허용 모드 등)를 확인할 수 있습니다.



2. 현재 포트 설정 확인 SELinux에서 특정 포트가 어떤 서비스에 의해 사용되고 있는지 확인하려면 `semanage` 명령어를 사용할 수 있습니다.

예를 들어, 8080 포트가 어떤 서비스에 할당되어 있는지 확인하려면 다음과 같이 입력합니다.

```bash semanage port -l | grep http_port_t ``` 이 명령어는 `http_port_t` 타입에 할당된 포트를 나열합니다.



3. 특정 포트 차단하기 특정 포트를 차단하려면 SELinux 정책을 수정해야 합니다.

예를 들어, 8080 포트를 차단하고 싶다면 다음 단계를 따릅니다.



3.1. 포트 타입 변경 SELinux에서 포트를 차단하는 가장 일반적인 방법은 해당 포트의 타입을 변경하는 것입니다.

`semanage` 명령어를 사용하여 포트의 타입을 변경할 수 있습니다.

다음 명령어를 사용하여 8080 포트를 차단합니다.

```bash sudo semanage port -d -t http_port_t -p tcp 8080 ``` 이 명령어는 8080 포트를 `http_port_t` 타입에서 제거합니다.



3.2. 정책 적용 포트를 차단한 후, SELinux 정책을 적용하기 위해 시스템을 재부팅하거나 SELinux를 다시 로드해야 할 수 있습니다.

다음 명령어로 SELinux 정책을 다시 로드할 수 있습니다.

```bash sudo setenforce 1 ``` 이 명령어는 SELinux를 강제 모드로 설정하여 정책을 즉시 적용합니다.



4. 차단 확인 포트를 차단한 후, 해당 포트가 실제로 차단되었는지 확인해야 합니다.

이를 위해 `netstat` 또는 `ss` 명령어를 사용하여 포트가 열려 있는지 확인할 수 있습니다.

```bash netstat -tuln | grep 8080 ``` 또는 ```bash ss -tuln | grep 8080 ``` 이 명령어를 통해 8080 포트가 열려 있지 않음을 확인할 수 있습니다.



5. SELinux 로그 확인 SELinux는 차단된 접근 시도를 로그에 기록합니다.

`/var/log/audit/audit.log` 파일을 확인하여 SELinux가 차단한 이벤트를 검토할 수 있습니다.

다음 명령어를 사용하여 로그를 확인할 수 있습니다.

```bash sudo cat /var/log/audit/audit.log | grep denied ``` 이 명령어는 SELinux가 차단한 모든 접근 시도를 나열합니다.

결론 SELinux에서 특정 포트를 차단하는 것은 시스템 보안을 강화하는 중요한 작업입니다.

위의 단계를 통해 SELinux를 사용하여 포트를 차단하고, 차단된 포트가 실제로 작동하지 않는지 확인할 수 있습니다.

SELinux의 정책을 이해하고 적절히 관리하는 것은 시스템의 보안을 유지하는 데 필수적입니다.