SElinux

출처 : http://www.hackerslab.org/korg/view.fhz?menu=news&no=1852

[좁은문님 曰] SELinux 써 보셨습니까? 저는 들어 보기만 하고 아직 사용해 본 적이 없습니다만 사용해 보신 분들의 말씀을 듣고 싶군요. CNet에 SELinux에 관한 글이 실렸군요. SELinux는 좀 더 안전한 리눅스를 위해 미 국가안보국 NSA에 의해 개발된 리눅스로, 무료로 다운받을 수 있습니다. 아래는 ZDNet-UK에 실린 CNet 기사 요약입니다:

===================
리눅스를 사용한다고 해서 해커의 타겟이 되지 않을 것이란 건 순진한 생각이다. 리눅스로 호스팅을 하거나 중요한 데이터를 전송하는데 사용하고 있다면 미 국가안보국이 개발해 무료로 배포하고 있는 SELinux(Security-Enhanced Linux)를 사용해 볼 것을 권한다.

2001년 1월 최초로 릴리스된 SELinux는 오픈소스 리눅스 커널의 보안을 강화시켜 파일 변조와 어플리케이션 보안 프로시저 무사통과를 막고, 악성 어플리케이션에 의한 피해를 줄이기 위한 목적으로 NSA 연구 프로젝트에 의해 개발되었다.

일반적으로 리눅스 시스템 보안은 커널과 setuid/setgid 바이너리를 통해 생성된 종속관계에 의존한다. 그렇기 때문에 이런 보안 매커니즘에서는 권한이 부여되는 어플리케이션의 설정을 이용, 실행중인 프로세스의 취약점을 익스플로이트하면 전체 시스템을 장악할 수 있게 되는 경우가 많다. 다른 어플리케이션과의 호환성과 상호 운영으로 인한 이 문제점은 현재 우리가 사용하고 있는 대부분 운영 시스템의 문제점이기도 하다.

SELinux는 커널과 보안 설정 정책을 최우선순위로 하기 때문에 보안 시스템을 올바르게 설정만 한다면, 어플리케이션과 daemonm 등을 잘못 설정하더라도 사고시 사용자 프로그램과 시스템 daemon을 망치는 데만 그친다. 기본적인 시스템 구조는 물론 다른 사용자 프로그램과 daemon은 손상되지 않는다.

간단히 말해서 어플리케이션 설정상의 취약점이나 익스플로이트가 전체 시스템을 망칠 수 없다는 소리다.

SELinux 설치하기

SELinux 커널, 유틸리티, daemon/유틸리티 패치, 문서화는 Security-Enhanced Linux 웹사이트에서 다운로드 가능하다. 현재 사용하고 있는 리눅스 시스템을 새 커널로 컴파일 해서 수정되지 않은 시스템 패키지로 엑세스 해야 한다.

개발자들은 최신 릴리스를 레드햇 배포판과 함께 테스트 했는데 최근 리눅스 어플리케이션과 호환 가능하다고 한다.

커널을 컴파일해 permissive 모드에서 실행되게 할 수 있다. 이 모드는 보안 설정 정책 검사 모드로 설치된 사용자 어플리케이션과 시스템 운영상 필요한 퍼미션을 결정하게 해 준다.

SELinux를 사용하면 가장 좋은 점은 사용자 프로그램을 그 프로그램의 실행에 필요한 최소한의 권한으로 제한할 수 있다는 점이다. 또한 커널 오브젝트와 서비스 엑세스 컨트롤, 프로세스 초기화, 상속, 프로그램 실행 엑세스 컨트롤, 파일 시스템, 디렉토리, 파일 오픈파일 description 엑세스 컨트롤, 소켓, 메세지, 네트워크 인터페이스 컨트롤 등의 기능이 있다.

SELinux를 사용하면 모든 사용자와 시스템 어플리케이션을 계속해서 업데이트할 필요가 없이, 패치와 업데이트를 편할 때 적용해도 되기 때문에 좋다.

SELinux는 아직 개발중인 프로젝트다. NSA는 중요한 정보가 있는 시스템에 SELinux를 사용하라고 권장한 적은 없지만 나는 지난 한해 동안 SELinux를 사용했는데 시스템에 문제가 생긴적이 한번도 없었다.

일단 다운로드 받아서 테스트를 해 볼 것을 권한다.

NSA(The National Security Agency)
다운로드 ZDNet-UK