SELinux에서 시스템 부팅 시 정책을 적용하는 방법은 무엇인가요?

Q1: SELinux에서 시스템 부팅 시 정책이 자동으로 적용되나요?
네, SELinux는 커널 레벨 보안 모듈로서 부팅 시 자동으로 정책을 로드하고 적용합니다. 부팅 과정 중에 SELinux 정책이 커널에 의해 적용되어 보안 모드가 활성화됩니다.

Q2: 부팅 시 SELinux 상태와 정책을 확인하는 방법은?
부팅 후 터미널에서 `sestatus` 명령어를 실행하면 SELinux의 현재 상태(Enforcing, Permissive, Disabled)와 적용된 정책 정보를 확인할 수 있습니다.

Q3: 부팅 시 SELinux 정책 파일은 어디에 위치하나요?
기본적으로 SELinux 정책은 `/etc/selinux/` 디렉터리 아래에 저장되어 있습니다. 각 모드별 정책(예: targeted, mls 등)은 `/etc/selinux/targeted/policy/` 경로에 위치하는 `policy*.pp` 파일 형태로 존재합니다.

Q4: 부팅 시 SELinux 정책 모드를 변경하려면 어떻게 하나요?
부팅 시 커널 부트 매개변수에 `selinux=1`(활성화), `enforcing=1`(강제 모드), `permissive=1`(허용 모드), `disabled=1`(비활성화) 등의 옵션을 추가하여 초기 상태를 설정할 수 있습니다. 보통 GRUB 설정 파일(`/etc/default/grub` 또는 `/boot/grub2/grub.cfg`)을 수정하고 `update-grub` 명령을 실행해 적용합니다.

Q5: SELinux 정책을 부팅 시 업데이트하거나 변경하려면 어떻게 해야 하나요? 1. 정책 소스 파일에서 변경을 완료합니다.
2. `checkmodule`과 `semodule_package` 툴로 새 정책 모듈을 컴파일합니다.
3. `semodule -i` 명령으로 모듈을 설치합니다.
이후 시스템을 재부팅하면 정책이 적용된 상태로 시작합니다.

Q6: 부팅 시 SELinux 정책 로딩이 실패하면 어떻게 확인하나요?
부팅 로그를 확인하기 위해 `journalctl -b` 또는 `/var/log/messages` 로그 파일에서 SELinux 관련 오류 메시지를 확인합니다. 정책 컴파일 오류나 손상으로 인해 적용 실패가 발생할 수 있습니다.

Q7: SELinux가 부팅 시 활성화되지 않도록 설정하려면 어떻게 하나요?
`/etc/selinux/config` 파일에서 `SELINUX=disabled`로 설정하거나, 부트로더 커널 파라미터에 `selinux=0`을 추가하면 됩니다.

---

요약하자면, SELinux 정책은 부팅 시 자동으로 커널에 의해 로드되고 적용되며, 정책 변경 시 모듈 재빌드 및 설치 후 재부팅하면 반영됩니다. 부팅 시 정책 모드 변경은 GRUB 커널 파라미터 또는 `/etc/selinux/config` 파일의 설정을 조정하여 가능합니다.

SELinux(보안 강화 리눅스)는 리눅스 커널의 보안 모듈로, 시스템의 보안을 강화하기 위해 프로세스와 파일에 대한 접근 제어를 제공합니다.

SELinux는 정책 기반으로 작동하며, 시스템 부팅 시 이러한 정책을 적용하는 방법은 다음과 같습니다.

1. SELinux 정책 파일 준비 SELinux는 정책 파일을 통해 시스템의 보안 규칙을 정의합니다.

이러한 정책 파일은 `/etc/selinux/targeted/policy/` 디렉토리에 위치하며, 일반적으로 `policy`라는 파일 이름을 가지고 있습니다.

이 파일은 SELinux가 부팅 시 로드할 정책을 포함하고 있습니다.



2. SELinux 모드 설정 SELinux는 세 가지 모드로 작동합니다: - Enforcing : 정책을 강제로 적용하며, 위반 시 접근이 차단됩니다.

- Permissive : 정책 위반을 기록하지만, 접근은 허용됩니다.

- Disabled : SELinux가 비활성화됩니다.

SELinux 모드는 `/etc/selinux/config` 파일에서 설정할 수 있습니다.

이 파일에서 `SELINUX` 변수를 `enforcing`, `permissive`, 또는 `disabled`로 설정하여 SELinux의 동작 모드를 지정할 수 있습니다.

```bash /etc/selinux/config SELINUX=enforcing ```

3. 부팅 시 SELinux 정책 로드 시스템이 부팅될 때, 커널은 SELinux를 초기화하고 설정된 모드에 따라 정책을 로드합니다.

이 과정은 부팅 프로세스의 초기 단계에서 이루어지며, SELinux가 활성화된 경우 커널은 정책 파일을 읽고 이를 메모리에 로드합니다.

부팅 시 SELinux 정책을 로드하는 과정은 다음과 같습니다: - 커널이 부팅되면, SELinux가 초기화되고, `/etc/selinux/config` 파일을 참조하여 SELinux 모드를 결정합니다.

- 그 후, SELinux는 `/etc/selinux/targeted/policy/policy.version` 파일을 통해 현재 시스템에 맞는 정책 파일을 찾습니다.

- 정책 파일이 로드되면, SELinux는 시스템의 프로세스와 파일에 대한 접근 제어를 시작합니다.



4. SELinux 정책 관리 SELinux 정책은 시스템의 보안 요구 사항에 따라 조정할 수 있습니다.

정책을 수정하거나 새로운 정책을 추가하려면 `semodule` 명령어를 사용하여 정책 모듈을 관리할 수 있습니다.

예를 들어, 새로운 정책 모듈을 추가하려면 다음과 같은 명령어를 사용할 수 있습니다.

```bash semodule -i my_policy.pp ```

5. SELinux 상태 확인 SELinux의 현재 상태와 모드를 확인하려면 `sestatus` 명령어를 사용할 수 있습니다.

이 명령어는 SELinux의 활성화 상태, 현재 모드, 로드된 정책 등을 보여줍니다.

```bash sestatus ```

6. SELinux 로그 및 문제 해결 SELinux는 정책 위반을 `/var/log/audit/audit.log` 파일에 기록합니다.

이 로그를 통해 어떤 접근이 차단되었는지 확인할 수 있으며, 문제 해결을 위해 `audit2allow` 도구를 사용하여 로그를 분석하고 필요한 경우 정책을 수정할 수 있습니다.

결론 SELinux는 시스템 부팅 시 정책을 적용하여 보안을 강화하는 중요한 역할을 합니다.

올바른 정책 설정과 모드 선택은 시스템의 보안을 유지하는 데 필수적입니다.

SELinux의 정책을 이해하고 관리하는 것은 시스템 관리자의 중요한 책임 중 하나입니다.