SELinux의 기본 정책을 변경하는 방법은 무엇인가요?

Q1: SELinux의 기본 정책이란 무엇인가요?
A1: SELinux 기본 정책은 시스템에 적용되는 접근 제어 규칙 세트를 말하며, 시스템의 보안 레벨을 결정합니다. 대표적인 기본 정책으로는 `targeted`와 `strict`가 있습니다.

Q2: SELinux 기본 정책을 확인하려면 어떻게 해야 하나요?
A2: 터미널에서 다음 명령어를 입력하여 현재 기본 정책을 확인할 수 있습니다.
```
sestatus | grep "Loaded policy name"
```

Q3: SELinux 기본 정책을 변경하려면 어떤 절차가 필요한가요?
A3: 기본 정책 변경은 정책 패키지를 설치하거나 교체하는 방식으로 진행합니다.
1. 시스템에 원하는 정책 패키지가 설치되어 있어야 합니다.
2. `/etc/selinux/config` 파일에서 `SELINUXTYPE` 값을 변경하여 기본 정책을 지정합니다.
3. 시스템을 재부팅하여 변경 사항을 적용합니다.

Q4: `/etc/selinux/config` 파일에서 기본 정책을 어떻게 변경하나요?
A4: 텍스트 편집기로 `/etc/selinux/config` 파일을 열고, `SELINUXTYPE=` 항목을 원하는 정책 이름(예: `targeted`, `mls`, `strict`)으로 변경합니다. 예:
```
SELINUXTYPE=targeted ```

Q5: 변경 가능한 기본 정책은 무엇이 있나요?
A5: 설치된 정책에 따라 다르지만 일반적으로 `targeted`, `mls`, `strict` 등이 있으며, 정책 패키지가 추가로 설치되면 더 많아질 수 있습니다.

Q6: 정책 패키지가 설치되어 있지 않으면 어떻게 해야 하나요?
A6: 원하는 정책 패키지를 설치해야 합니다. 예를 들어, RHEL이나 CentOS 기반 시스템에서는 `policycoreutils` 또는 별도의 정책 패키지를 통해 설치할 수 있습니다.
```
yum install selinux-policy-mls
```

Q7: 정책 변경 후 반드시 재부팅해야 하나요?
A7: 네, SELinux 기본 정책 변경은 시스템 재부팅 후에 적용되므로 반드시 재부팅해야 합니다.

Q8: 정책 변경 시 주의할 점은 무엇인가요?
A8: 정책이 맞지 않으면 시스템 서비스가 정상적으로 동작하지 않을 수 있으므로, 변경 전 반드시 테스트 환경에서 검증하거나 충분한 백업을 해두는 것이 좋습니다.

---

요약하면, SELinux 기본 정책을 변경하려면 `/etc/selinux/config` 파일의 `SELINUXTYPE` 값을 원하는 정책명으로 변경하고, 필요한 정책 패키지가 설치되어 있어야 하며, 변경 후 시스템을 재부팅해야 합니다.

SELinux(보안 강화 리눅스)는 리눅스 커널의 보안 모듈로, 시스템의 보안을 강화하기 위해 프로세스와 파일에 대한 접근 제어를 제공합니다.

SELinux는 기본적으로 세 가지 모드(Enforcing, Permissive, Disabled)로 작동하며, 각 모드는 시스템의 보안 정책을 다르게 적용합니다.

기본 정책을 변경하는 것은 시스템의 보안 설정을 조정하는 중요한 작업입니다.

다음은 SELinux의 기본 정책을 변경하는 방법에 대한 자세한 설명입니다.

1. SELinux 모드 확인 먼저 현재 SELinux 모드를 확인해야 합니다.

이를 위해 다음 명령어를 사용할 수 있습니다: ```bash sestatus ``` 이 명령어는 SELinux의 현재 상태와 모드를 보여줍니다.

출력 예시는 다음과 같습니다: ``` SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing ```

2. SELinux 정책 변경 SELinux의 기본 정책을 변경하려면 `/etc/selinux/config` 파일을 수정해야 합니다.

이 파일은 SELinux의 기본 모드와 정책을 설정하는 곳입니다.

다음 단계를 따라 진행합니다.



2.1. 파일 열기 ```bash sudo nano /etc/selinux/config ```

2.2. SELINUX 항목 수정 파일 내에서 `SELINUX=` 항목을 찾아 원하는 모드로 변경합니다.

가능한 값은 다음과 같습니다: - `enforcing`: SELinux 정책을 강제로 적용합니다.

- `permissive`: SELinux 정책을 적용하되, 위반 사항을 로그에 기록합니다.

- `disabled`: SELinux를 비활성화합니다.

예를 들어, SELinux를 permissive 모드로 변경하려면 다음과 같이 수정합니다: ```bash SELINUX=permissive ```

2.3. 정책 유형 변경 기본 정책 유형도 변경할 수 있습니다.

`SELINUXTYPE=` 항목을 찾아 원하는 정책으로 변경합니다.

일반적으로 사용되는 정책은 `targeted`, `mls`, `strict` 등이 있습니다.

예를 들어, `targeted` 정책으로 설정하려면 다음과 같이 수정합니다: ```bash SELINUXTYPE=targeted ```

3. 시스템 재부팅 설정을 변경한 후에는 시스템을 재부팅해야 변경 사항이 적용됩니다.

다음 명령어로 시스템을 재부팅합니다: ```bash sudo reboot ```

4. SELinux 모드 변경 (실시간) 재부팅 없이도 SELinux 모드를 변경할 수 있습니다.

다음 명령어를 사용하여 현재 모드를 변경할 수 있습니다: ```bash sudo setenforce 0 permissive 모드로 변경 sudo setenforce 1 enforcing 모드로 변경 ``` 이 방법은 일시적으로 모드를 변경하며, 시스템 재부팅 후에는 `/etc/selinux/config` 파일에 설정된 모드로 돌아갑니다.



5. SELinux 정책 관리 도구 SELinux 정책을 관리하기 위해 `semanage`, `setsebool`, `getsebool` 등의 도구를 사용할 수 있습니다.

이 도구들은 SELinux의 정책을 보다 세부적으로 조정하는 데 유용합니다.

- semanage : SELinux 정책을 관리하는 데 사용됩니다.

예를 들어, 포트를 추가하거나 파일 컨텍스트를 변경할 수 있습니다.

- setsebool : SELinux 부울 값을 설정하여 특정 기능을 활성화하거나 비활성화합니다.

- getsebool : 현재 SELinux 부울 값의 상태를 확인합니다.



6. SELinux 로그 확인 SELinux의 동작을 모니터링하고 문제를 해결하기 위해 로그를 확인하는 것이 중요합니다.

SELinux 관련 로그는 `/var/log/audit/audit.log` 또는 `/var/log/messages`에서 확인할 수 있습니다.

`audit2why` 및 `audit2allow` 도구를 사용하여 로그를 분석하고 필요한 정책을 생성할 수 있습니다.

결론 SELinux의 기본 정책을 변경하는 것은 시스템 보안을 조정하는 중요한 작업입니다.

위의 단계를 통해 SELinux 모드와 정책을 변경할 수 있으며, 이를 통해 시스템의 보안 요구 사항에 맞게 조정할 수 있습니다.

SELinux를 적절히 구성하고 관리하는 것은 시스템의 보안을 강화하는 데 필수적입니다.