데브러너 (DevRunner)

8.7 SELinux

8.7.1 Check if SELinux is Enabled
8.7.2 Changing the SELinux Mode
8.7.3 MySQL Server SELinux Policies
8.7.4 SELinux File Context
8.7.5 SELinux TCP Port Context
8.7.6 Troubleshooting SELinux

Security-Enhanced Linux (SELinux)는 각 시스템 객체에 SELinux context 라고 하는 security label을 적용하여 액세스 권한을 구현하는 mandatory access control (MAC) 시스템입니다. SELinux policy module은 SELinux context를 사용하여 프로세스, 파일, 포트 및 기타 시스템 객체가 서로 어떻게 상호 작용하는지에 대한 규칙을 정의합니다. 시스템 객체 간의 상호 작용은 policy 규칙이 이를 허용하는 경우에만 허용됩니다.

SELinux context(시스템 객체에 적용되는 label)는 다음 field를 가집니다: user, role, type, 그리고 security level. 프로세스가 다른 시스템 객체와 상호 작용하는 방법에 대한 규칙을 정의할 때는 전체 SELinux context보다 type 정보가 가장 일반적으로 사용됩니다. 예를 들어 MySQL SELinux policy module은 type 정보를 사용하여 policy 규칙을 정의합니다.

ls 및 ps 와 같은 운영 체제 명령에 -Z 옵션을 사용하여 SELinux context를 볼 수 있습니다. SELinux가 활성화되어 있고 MySQL Server가 실행 중이라고 가정하면, 다음 명령은 mysqld 프로세스와 MySQL 데이터 디렉터리의 SELinux context를 보여 줍니다:

mysqld process:

1$> ps -eZ | grep mysqld
2system_u:system_r:mysqld_t:s0    5924 ?        00:00:03 mysqld

MySQL data directory:

1$> cd /var/lib
2$> ls -Z | grep mysql
3system_u:object_r:mysqld_db_t:s0 mysql

여기서:

system_u 는 시스템 프로세스 및 객체에 대한 SELinux user identity입니다.
system_r 는 시스템 프로세스에 사용되는 SELinux role입니다.
objects_r 는 시스템 객체에 사용되는 SELinux role입니다.
mysqld_t 는 mysqld 프로세스와 연관된 type입니다.
mysqld_db_t 는 MySQL 데이터 디렉터리 및 그 파일과 연관된 type입니다.
s0 는 security level입니다.

SELinux context 해석에 대한 자세한 정보는 배포판의 SELinux documentation을 참조하십시오.