SELinux에서 정책을 관리하는 명령어는 무엇인가요?

Q: SELinux에서 정책을 관리하는 명령어는 무엇인가요?

A: SELinux 정책 관리를 위해 주로 사용하는 명령어는 다음과 같습니다.

1. semanage
- 설명: SELinux 정책에서 사용자, 포트, 파일 컨텍스트, 보안 매핑 등을 관리할 때 사용합니다.
- 주요 예시:
- `semanage port -l` : SELinux에서 관리하는 포트와 그 할당 정보를 조회
- `semanage fcontext -l` : 파일 컨텍스트 목록 조회
- `semanage boolean -l` : SELinux boolean 설정을 조회 및 변경

2. semodule
- 설명: SELinux 정책 모듈을 추가, 제거, 업로드하는 데 사용합니다.
- 주요 예시:
- `semodule -l` : 설치된 정책 모듈 목록 조회
- `semodule -i ` : 정책 모듈 설치

- `semodule -r ` : 정책 모듈 삭제

3. checkmodule
- 설명: 정책 모듈(.te 파일)을 컴파일해서 .mod 파일로 변환할 때 사용합니다. (주로 커스텀 정책 작성 시 사용)

4. semodule_package
- 설명: 컴파일된 정책 모듈(.mod 파일)과 관련 파일을 하나의 .pp 정책 패키지로 묶을 때 사용합니다.

5. audit2allow
- 설명: /var/log/audit/audit.log에서 발생한 권한 거부 메시지를 분석하여, 필요한 정책 규칙을 자동 생성할 때 유용합니다.

6. setsebool
- 설명: SELinux Boolean 값을 일시적 혹은 영구적으로 설정합니다.
- 예:
- `setsebool httpd_enable_homedirs on -P` : HTTPD가 홈디렉토리에 접근할 수 있도록 설정하며, -P 옵션은 영구 적용을 의미

이 명령어들을 통해 SELinux의 정책을 추가, 수정, 활성화할 수 있으며, 시스템의 보안 정책을 효율적으로 관리할 수 있습니다.

SELinux에서 정책을 관리하는 GUI 도구는 무엇인가요?

SELinux의 Enforcing 모드와 Permissive 모드의 차이는 무엇인가요?

SELinux(보안 강화 리눅스)는 리눅스 커널에 통합된 보안 모듈로, 시스템의 보안을 강화하기 위해 프로세스와 파일에 대한 접근 제어를 제공합니다.

SELinux는 정책 기반의 접근 제어를 사용하며, 이러한 정책을 관리하기 위해 다양한 명령어를 제공합니다.

SELinux 정책을 관리하는 주요 명령어는 다음과 같습니다.

1. `sestatus` - 용도 : SELinux의 현재 상태를 확인합니다.

- 사용법 : `sestatus` - 설명 : 이 명령어는 SELinux가 활성화되어 있는지, 어떤 모드(예: enforcing, permissive, disabled)로 실행되고 있는지를 보여줍니다.



2. `setenforce` - 용도 : SELinux의 모드를 변경합니다.

- 사용법 : `setenforce [0|1]` - 설명 : `0`을 입력하면 permissive 모드로 전환되고, `1`을 입력하면 enforcing 모드로 전환됩니다.

permissive 모드는 SELinux 정책 위반을 로그에 기록하지만, 실제로 차단하지는 않습니다.



3. `getsebool` - 용도 : SELinux 부울 변수의 현재 값을 확인합니다.

- 사용법 : `getsebool [boolean_name]` - 설명 : 특정 부울 변수의 현재 상태를 확인할 수 있습니다.

예를 들어, `getsebool httpd_can_network_connect`는 HTTPD 프로세스가 네트워크에 연결할 수 있는지를 확인합니다.



4. `setsebool` - 용도 : SELinux 부울 변수를 설정합니다.

- 사용법 : `setsebool [boolean_name] [on|off]` - 설명 : 특정 부울 변수를 활성화하거나 비활성화합니다.

예를 들어, `setsebool -P httpd_can_network_connect on`은 HTTPD가 네트워크에 연결할 수 있도록 허용합니다.

`-P` 플래그는 변경 사항을 영구적으로 적용합니다.



5. `semanage` - 용도 : SELinux 정책을 관리합니다.

- 사용법 : `semanage [options]` - 설명 : SELinux 정책의 다양한 요소를 관리하는 데 사용됩니다.

예를 들어, 포트, 파일 컨텍스트, 사용자 등을 관리할 수 있습니다.

예를 들어, `semanage port -a -t http_port_t -p tcp 8080`는 TCP 포트 8080을 HTTP 서비스에 추가합니다.



6. `restorecon` - 용도 : 파일의 SELinux 컨텍스트를 복원합니다.

- 사용법 : `restorecon [file_path]` - 설명 : 지정된 파일이나 디렉토리의 SELinux 컨텍스트를 정책에 정의된 기본값으로 복원합니다.

예를 들어, `restorecon /var/www/html`은 웹 서버의 파일 컨텍스트를 복원합니다.



7. `chcon` - 용도 : 파일의 SELinux 컨텍스트를 변경합니다.

- 사용법 : `chcon [options] [context] [file_path]` - 설명 : 특정 파일이나 디렉토리의 SELinux 컨텍스트를 수동으로 변경할 수 있습니다.

예를 들어, `chcon -t httpd_sys_content_t /var/www/html/index.html`은 특정 파일의 컨텍스트를 변경합니다.



8. `audit2allow` - 용도 : SELinux 감사 로그를 기반으로 정책을 생성합니다.

- 사용법 : `audit2allow -a` - 설명 : SELinux의 감사 로그를 분석하여, 특정 접근 거부를 허용하는 정책 모듈을 생성합니다.

이 명령어는 SELinux 정책을 조정할 때 유용합니다.



9. `sepolicy` - 용도 : SELinux 정책을 분석합니다.

- 사용법 : `sepolicy [options]` - 설명 : SELinux 정책의 내용을 분석하고, 특정 프로세스나 파일에 대한 정책을 확인하는 데 사용됩니다.

예를 들어, `sepolicy boolean -l`은 모든 부울 변수의 목록을 보여줍니다.

이 외에도 SELinux 정책을 관리하는 다양한 명령어와 도구가 존재하지만, 위에서 언급한 명령어들이 가장 일반적으로 사용되는 명령어들입니다.

SELinux를 효과적으로 관리하기 위해서는 이러한 명령어들의 사용법을 숙지하고, 시스템의 보안을 강화하는 데 활용하는 것이 중요합니다.