SELinux로 Ubuntu Linux 서버 보호

SELinux는 Fedora 및 RHEL 과 같은 많은 Linux 운영 체제 에서 기본적으로 제공되는 강력하고 사용자 정의 가능한 보안 시스템입니다 . Ubuntu 서버에 추가 보안을 추가하려면 SELinux로 Ubuntu Linux 서버를 보호하는 방법을 보여 주는 대로 따르십시오.

Ubuntu에서 AppArmor를 비활성화하는 방법

Ubuntu는 기본적으로 AppArmor를 사용합니다. SELinux가 주장하는 바를 대략적으로 수행하는 훌륭한 시스템입니다. 그러나 SELinux를 대신 사용하려면 AppArmor를 비활성화해야 합니다. Ubuntu Server에서 AppArmor를 비활성화하려면 다음을 수행하십시오.

먼저 SSH를 통해 Ubuntu 서버 시스템에 연결합니다(또는 물리적으로 시스템에 앉아서 터미널을 사용). 터미널에 로그인한 후 systemctl disable 명령을 사용하여 Ubuntu 시스템에서 AppArmor를 비활성화합니다.

sudo systemctl 비활성화 apparmor --now

이 명령을 실행한 후 systemctl status 명령을 사용하여 AppArmor가 실제로 비활성화되었는지 확인할 수 있습니다. 그렇지 않은 경우 재부팅하고 systemctl disable 명령을 다시 실행해 보십시오.

systemctl 상태 의류

Ubuntu에 SELinux를 설치하는 방법

Ubuntu 시스템에서 SELinux를 사용하기 전에 설치해야 합니다. Ubuntu에 SELinux를 설치하려면 몇 가지 패키지, 특히 "policycoreutils", "selinux-utils" 및 "selinux-basics" 패키지가 필요합니다. 이러한 패키지를 설치하려면 다음 명령을 사용하십시오.

sudo apt install policycoreutils selinux-utils selinux-basics

위의 패키지를 설치하면 SELinux가 Ubuntu 시스템에 설치됩니다. 그러나 활성화될 때까지 Ubuntu 서버에서 SELinux를 최대한 활용할 수 없습니다.

Ubuntu 서버 시스템에서 SELinux를 활성화하려면 selinux-activate 명령을 사용하십시오. 이 명령은 SELinux와 함께 작동하도록 Ubuntu Server의 Grub 부트로더를 수정하고 부팅 시 활성화합니다.

sudo selinux-활성화

SELinux가 활성화된 상태에서 selinux-config-enforcing 명령을 사용하여 SELinux 적용을 활성화합니다 .

sudo selinux-config-enforcing

활성화 후 Ubuntu 서버를 재부팅해야 합니다. sudo reboot 명령을 사용하여 시스템을 다시 시작하십시오.

sudo 재부팅

시스템 재부팅이 완료되면 사용자 계정을 사용하여 서버에 다시 로그인합니다.

SELinux 구성 방법

SELinux 적용이 활성화되어 있는 동안에도 필요에 맞게 구성해야 합니다. Ubuntu 서버에서 더 나은 보안을 위해 설정할 수 있는 수십 개의 SELinux 정책이 있습니다.

시작하려면 시스템에서 비활성화한 사용 가능한 SELinux 정책을 나열하십시오. semanage boolean -l 명령을 사용하여 이러한 SELinux 정책을 나열할 수 있습니다 .

semanage 부울 -l

활성화하려는 정책을 살펴보십시오. 예를 들어 SELinux 적용 정책에서 "use_nfs_home_dirs"를 활성화하려는 경우 다음 명령을 실행하여 활성화할 수 있습니다.

"1"은 setsebool 명령을 사용하여 SELinux에서 무언가를 활성화하는 것과 같습니다 .

sudo setsebool -P use_nfs_home_dirs 1

SELinux 적용 정책에서 "use_nfs_home_dirs"를 비활성화하려면 setsebool 명령을 사용할 수 있지만 "1"을 "0"으로 변경할 수 있습니다. "0"은 "비활성화"라고 쓰는 것과 같습니다.

sudo setsebool -P use_nfs_home_dirs 0

SELinux로 불필요한 값을 비활성화하는 방법

필요하지 않을 수 있는 여러 SELinux 값이 활성화되어 있습니다. Ubuntu 시스템의 SELinux에서 이 값을 끄면 보안이 크게 향상됩니다. 활성화된 SELinux 값을 보려면 터미널에서 다음 getsebool -a 명령을 실행합니다.

sudo getsebool -a | grep -E '\b\w+\b\s+-->\s+온\b'

위의 명령은 활성화된 각 값을 출력합니다. 이러한 활성화된 값을 살펴보고 활성화된 상태로 둘 것인지 결정하십시오. 예를 들어 Squid 서버를 사용하지 않는 경우 "squid_use_pinger"를 활성화할 필요가 없을 수 있습니다.

비활성화할 값을 결정했으면 다음 setsebool 명령을 실행할 수 있습니다. 이 명령은 SELinux 구성에서 정책을 활성화에서 비활성화로 변경합니다.

sudo setsebool -P VALUE_NAME 0

Ubuntu 서버에서 AppArmor 재활성화

Ubuntu Server에서 SELinux를 사용하지 않기로 결정한 경우 AppArmor로 되돌리는 방법은 다음과 같습니다. 먼저 터미널을 열고 다음 "sed" 명령을 사용하여 구성 파일에서 SELinux를 비활성화합니다.

sudo sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config

SELinux 구성 파일에 "disabled"를 추가한 후 재부팅해야 합니다. 재부팅하면 SELinux가 부팅 시 실행되지 않습니다.

sudo 재부팅

다시 로그인하면 systemctl enable 명령을 사용하여 Ubuntu에서 AppArmor를 다시 활성화할 수 있습니다.

sudo systemctl enable apparmor

AppArmor 서비스를 활성화한 후 다음 systemctl start 명령을 실행하여 Ubuntu 시스템에서 시작합니다.

sudo systemctl 시작 의류

systemctl status 명령을 사용하여 Ubuntu 시스템에서 AppArmor가 올바르게 실행되고 있는지 확인할 수 있습니다 .

systemctl 상태 의류