리눅스마스터1급 : 시스템 보안을 위한 SELinuix

리눅스마스터1급 : 시스템 보안을 위한 SELinuix

SELinux 란 미 국가 보안국(U.S. National Security Agency)이 오픈소스커뮤니티에 릴리즈한 Linux의 보안 강화 버전으로서 리눅스 보안 모듈 구조체(Linux Security Modules(LSM) framework)를 이용하여 리눅스 커널에 의무 접근 제어(Mandatory Access Control - MAC)를 구현하는 것이다.

현재 대부분의 거의 모든 리눅스 배포판에서 지원되고 있다.

SELinux에 대해 알아보기 전에 표준 리눅스 보안 모델에 대해 잠깐 언급 하겠다.

표준 리눅스 보안 모델은 DAC(Directory Access Control)따르며 이는 파일과 자원에 대한 결정권은 해당 Object에 대해 사용자에게 있다.

즉 사용자나 사용자가 실행시킨 프로세스의 경우 할당된 자원에 대한 전적으로 모든 권한을 가질 수 있다.

이런한 상황에서 setuid 또는 setgid를 이용하는 프로그램의 경우 악의 적으로 이용된다면 사실상 막을 방법이 없다.

이에 반해 SELinux는 모든 사용자 및 프로세스와 자원과 파일등에 접근에 대한 제한적인 권한을 제공할 수 있으며 프로세스에 대해서도 필요한 권한만 할당이 가능하다.

현재 대부분의 배포판에는 targeted policy가 주로 사용되고 있다.

SELinux를 다루기 위해서는 보다 수준 높은 전문 기술과 서비스에 대한 폭넓은 이해가 필요한 부분이기에 여기서는 소개만 하도록 하며 보다 자세한 내용이 궁금하다면 http://www. nsa.gov/research/selinux/index.shtml 해당 사이트에서 보다 자세한 내용을 알 수 있다.