'Linux/CentOS'에 해당되는 글 1건

  1. [CentOS] SELinux 설정 / 해제 2018.10.23

[CentOS] SELinux 설정 / 해제[CentOS] SELinux 설정 / 해제

Posted at 2018. 10. 23. 16:27 | Posted in Linux/CentOS
반응형




출처 : https://www.lesstif.com/pages/viewpage.action?pageId=6979732





■ SELinux 설정 / 해제




SELinux는 Linux의 보안을 강화해 주는 보안 강화 커널이고 zero-day 공격 및 buffer overflow 등 어플리케이션 취약점으로 인한 해킹을 방지해 주는 핵심 구성요소이다.


특정 서비스가 SELinux  때문에 동작하지 않는다면 SELinux를 끄기 보다는 해당 서비스가 SELinux 하에서 잘 동작하도록 설정을 수정하는걸 권장한다.




#01. SELinux 동작모드



enforce, permissive, disable 세가지 모드가 있으며 Red Hat Enterprise Linux / CentOS를 설치하면 default 로 enforce mode로 동작하며 SELinux의 rule에 어긋나는 operation은 거부된다.


현재 SELinux의 동작 모드는 sestatus 명령으로 확인할 수 있다.


 SELinux 모드 확인

 # sestatus


 SELinux status: enabled

 SELinux mount: /selinux

 Current mode: enforcing

 Mode from config file: enforcing

 Policy version: 24

 Policy from config file: targeted



Permissive mode는 rule에 어긋나는 동작이 있을 경우 audit log를 나믹고 해당 operation은 허용된다.


개발 서버일 경우 특정 daemon 이나 서비스에 문제가 있을 경우 setenforce 0으로 Permissive mode 로 전환하여 문제해결 후 enforce mode로 전환하는걸 추천한다.


 

 # setenforce 0

 # sestatus


 SELinux status: enabled

 SELinux mount: /selinux

 Current mode: permissive

 Mode from config file: enforcing

 Policy version: 24

 Policy from config file: targeted





#02. SELinux 해제



 ① vi편집기로 실행 selinux 실행

 # vi /etc/sysconfig/selinux



 ② SELINUXenforcing 라고 되어 있는 부분을 disabled로 수정한다.

 # This file controls the state of SELinux on the system.
 # SELINUX= can take one of these three values:
 #     enforcing - SELinux security policy is enforced.
 #     permissive - SELinux prints warnings instead of enforcing.
 #     disabled - No SELinux policy is loaded.
 SELINUX=disabled
 # SELINUXTYPE= can take one of three two values:
 #     targeted - Targeted processes are protected,
 #     minimum - Modification of targeted policy. Only selected processes are protected.
 #     mls - Multi Level Security protection.
 SELINUXTYPE=targeted



 ③ CentOS를 재시작 한다.

 # reboot




※ SELinux 해제한 경우

 · 인터넷에 연결된 리눅스 서버라면 SELinux 해제는 결코 추천하지 않는다.

 · 해제할 경우 다시 활성화 시키려면 재부팅이 필요하며 재부팅시 모든 자원에 대해 보안 레이블을 설정해야 하므로 부팅시간이 매우 오래 걸릴 수 있다.

 · SElinux를 해제후 다시 켤 경우 relabel이 필요하며 이때 잘못된 설정이 있을 경우 부팅이 안되거나 ssh로 원격 접속이 불가능할 수 있으므로 enforcing 모드가 아닌 permissive로 설정후 재부팅하는것을 권장한다.





반응형
저작자표시
//

티스토리툴바