안녕하세요. 주식회사 서버몬 입니다.

오늘은 Linux 계열의 OS를 운영 또는 세팅함에 있어 한번쯤은 들어보시거나 겪어보셨을

SELinux 에 대해 알아보려고 합니다.

SELinux 란? 

SELinux 란 미국 (U.S. National Security Agency)이 오픈소스커뮤니티에 릴리즈한 Linux의 보안

강화 버전(코드 포함)으로서 리눅스 보안 모듈 구조체(Linux Security Modules(LSM) framework)를

이용하여 리눅스 커널에 강제 접근 통제(Mandatory Access Control - MAC)를 구현하는 것 입니다.

Fedora Core3부터 기본으로 적용되기 시작하였고, 현재 대부분의 최신 리눅스 배포판에서 지원되고 있습니다.

SELinux에 대한 이해를 돕기위해서 DAC, MAC에 대해 간략하게 알아보겠습니다.

1) 임의 접근 통제(DAC - Discretionary Access Control)

표준 리눅스 보안은 임의 접근 통제 (Discretionary Access Control - DAC) 모델을 따릅니다.

파일과 자원에 대한 결정권은 오직 해당 객체(objects)의 사용자(user id)에게 있고 소유권(ownership)에 따라

이뤄지며 각 사용자와 그 사용자에 의해 실행된 프로그램은 자기에게 할당된 객체에 대해 전적으로 자유권을

갖습니다. 임의적 접근 통제는 사용자가 임의로 접근 권한을 지정하므로 사용자의 권한을 탈취당하면 

사용자가 소유하고 있는 모든 객체의 접근 권한을 가질 수 있게 됩니다.

즉, 위의 내용을 요약하면, 임의 접근 통제 에서는 사용자의 권한을 탈취 당하면 공격자의 공격에 취약해 진다는

것입니다. 제로데이 공격을 통해 이와 같이 공격 당할 경우 피해가 커질 수 있습니다.

공격할 수 있는 대상은 아래처럼 파일의 권한 중 s 가 포함된 것들이 대상입니다.

find /bin /usr/bin /sbin -perm -4000 -exec ls -ldb {} \; 명령어를 통해 아래와 같이 확인이 가능합니다.

이런점을 보완하기 위해반면에 SELinux에서 강제적 접근 통제 (Mandatory Access Control - MAC) 는 모든 주체(subjects - 사용자, 프로그램,

프로세스)와 객체(파일, 디바이스)에 대해서 국부적으로 허가(granular permissions)해 줄 수 있다. 응용프로그램에서

불필요한 부분은 제외하고 오직 필요한 기능에 대해서만 사용 권한을 안전하게 부여하는것이 가능하다.

2) 강제 접근 통제(MAC - Mandatory Access Control)
강제 접근 통제는 미리 정해진 정책과 보안 등급에 의거하여 주체에게 허용된 접근 권한과 객체에게 부여된 허용

등급을 비교하여 접근을 통제하는 방법입니다. 높은 보안을 요하는 정보는 낮은 보안 수준의 주체가 접근할 수 없으며

소유자라고 할 지라도 정책에 어긋나면 객체에 접근할 수 없으므로 강력한 보안을 제공하고 있습니다.

단점으로는 구현이 복잡하고 어려우며 모든 주체와 객체에 대해서 보안 등급과 허용 등급을 부여하여야 하므로 

설정이 복잡하고 시스템 관리자가 접근 통제 모델에 대해 잘 이해하고 있어야 합니다.

DAC 의 문제점을 보완하기 위해 SELinux 를 통해 MAC 로 운영할 수 있도록 했다고 이해하시면 될 것 같습니다.

SELinux 설정 방법

1) vi /etc/selinux/config 의 파일 수정을 통해 설정이 가능 합니다.

해당 파일을 열면 중간에 있는 SELINUX 의 행을 통해 수정이 가능 합니다.

2) SELinux 의 종류는 3가지가 있습니다.

  - enforcing = 기본 설정이며 SELinux 를 활성화 시킵니다.

  - permissive = SELinux 에 대해 경고와 로그만 활성화 시킵니다. (발생할 문제에 대해 예측이 가능 합니다.)

  - disabled = SELinux 를 종료 시킵니다.

3) 해당 항목의 설정을 통해 변경이 가능하며 getenforce 명령어를 통해 현재 상태 확인이 가능 합니다.

4) SELinux 의 설정을 변경하면 재 부팅을 진행해야 전체적인 적용에 대해 변경이 완료 됩니다.

추가적인 내용

Linux 계열의 운영체제에 대해 인터넷과 연결되는 구간에 위치하고 있다면, 이는 보안에 취약한 상태라고

볼 수 있습니다. 실제로 Linux 에서의 랜섬웨어에 감염되어 기업이 손해를 본 경우도 있었습니다.

그럼에도 SELinux 를 설정 및 운영하지 않는 이유는, 현실적으로 설정이 가능할만큼의 자료가 없다는 것 입니다.

보통 SELinux 에 대해 검색하면 상태의 설명 및 비활성화 시키는 내용이 대부분 이기 때문 입니다.

실제로 SELinux 에 의해 프로그램 등이 차단 될 경우 원인 파악이나 조치 등이 어렵습니다.

그래서 그런 부분을 보완하기 위해 서버 접근제어, 암호화, 백신, 서버 보안 등 다양한 솔루션들이 존재 합니다.

보통 Linux 계열에 프로그램이나 보안프로그램 등을 설치하는 경우 SELinux 를 종료하는 것이 권장사항 인

경우가 많아 관련된 내용에 대해 알아 보았습니다.

감사합니다.

- 참고한 자료 

  1) https://www.lesstif.com/1stb/selinux-18219472.html

  2) https://gukii.tistory.com/73

- 대표 이미지 출처 : https://operavps.com/what-is-selinux/

HPE, 레노버, 델 서버, 워크스테이션, 기업용 노트북 등 IT 제품은 서버몬에서 견적받아보세요~

제품에 대한 상담을 희망하시면, 02-2026-5062 or sales@servermon.co.kr로 문의 주세요.

서버몬에서 운영하는 IT 쇼핑몰을 구경하시려면, 하단의 로고를 클릭해주세요.

서버몬/서버몬기술지원/스위치/스위치 기술지원비(비용)/스위치 설치비/방화벽/방화벽 기술지원비(비용)/방화벽 설치비/랙/랙(RACK) 기술지원비(비용)/랙(RACK) 설치비/KVM/KVM 기술지원비(비용)/KVM 설치비/스토리지/스토리지 기술지원비(비용)/스토리지 설치비/스토리지 랙마운트비용/스토리지 장애조치비용/서버/서버 기술지원비(비용)/서버 설치비/서버 랙마운트비용/서버 장애조치비용/윈도우서버/윈도우즈 기술지원비(비용)/윈도우즈 설치비/리욱스/Linux/리눅스 기술지원비(비용)/리눅스 설치비/DB/데이터베이스/MySQL 기술지원비(비용)/MySQL 설치비/MSSQL 기술지원비(비용)/MSSQL 설치비/백업 기술지원비(비용)/HPE서버비용/HPE/DL20/DL20GEN10/ML30/ML30GEN10/ML360/ML350GEN10/DL360/DL360Gen10/DL380/DL380Gen10/LENOVO서버/레노보서버/델서버/델서버비용/DELLR540/DELLR750/HP서버/서버엔지니어/서버기술지원/서버디스크장애처리/방화벽/방화벽엔지니어/APC UPS/UPS/UPS설치/UPS기술지원/UPS납품/서버렉마운트/HPE Service Pack for Proliant/HPE SPP/SPP/Intelligent Provisioning/시놀로지나스/나스기술지원/SYNOLOGY/SYNOLOGY나스/시놀로지DS918/시놀로지하이퍼백업/HYPER BACKUP/시놀로지HyperBackup/시놀로지나스백업/서버백업/서버트러블슈팅/리눅스트러블슈팅/보안솔루션/시큐어디스크/인터넷디스크/이스트소프트/알약/카스퍼스키/ESTSOFT/V3/안랩/소포스/SOPHOS/카보나이트/더블테이크/이중화솔루션/HA솔루션/Windows서버설치/왼도우서버설치/윈도우서버2019/윈도우서버2016/MSSQL/MYSQL/디포그랙/DEFOG랙/디포그랙가격/EDFOG랙가격/RMS랙/서버납품/랙납품설치/랙설치/나스설치지원/스토리지납품설치/윈도우서버트러블슈팅/리눅스서버트러블슈팅/HPE서버펌웨어/HP서버펌웨어/HPE서버/FIRMWARE/DELL서버펌웨어/델서버펌웨어업데이트/레노보서버펌웨어/LENOVO펌웨어업데이트/HPE서버드라이버설치/HPE서버구매/DELL서버구매/LENOVO서버구매/보안솔루션구매/이중화솔루션구매/보안솔루션설치/이중화솔루션설치/HPE서버가격비교/DELL서버가격비교/LENOVO서버가격비교/HPE서버가격비교견적/DELL서버가격비교견적/LENOVO서버가격비교견적/HPE서버견적/DELL서버견적/LENOVO서버견적/HPE서버디스크교체/DELL서버디스크교체/LENOVO서버디스크교체/HPE서버RAID컨트롤러/HPE서버RAID컨트롤러/DELL서버RAID컨트롤러/LENOVO서버RAID컨트롤러/HP서버하드디스크/HPE서버하드디스크구매/DELL서버하드디스크구매/LENOVO서버하드디스크구매/HPE서버SAS하드디스크/DELL서버SAS하드디스크/LENONO서버SAS하드디스크/HPE서버메모리/DELL서버메모리/LENOVO서버메모리/HP서버메모리/HPE서버CPU/DELL서버CPU/LENOVO서버CPU/서버CPU/서버메모리/서버MEMORY/ECC메모리/서버용메모리/서버용하드디스크/서버용그래픽카드/쿼드로P400/QUADRO그래픽카드/QUADRO/우분투설치/서버보안/네트워크장비/네트워크스위치/L2스위치/L3스위치/OS설치/서버OS설치/리눅스서버설치/우분투설치/페도라설치/레드헷설치/RHEL설치/워크스테이션/서버/hp워크스테이션/서버컴퓨터/델워크스테이션/hp서버/미니서버랙/중고서버/hpz4/dell워크스테이션/서버pc/hpz4g4/중고워크스테이션/hpz440/레노버p620/서버용컴퓨터/델서버/레노버워크스테이션/hpz420/dell서버