setools-console 패키지는 명령행에서 SELinux 의 보안 정책을 조회하고 다룰 수 있는 유틸리티의 묶음으로 사용법을 익혀두면 SELinux 의 동작에 대해서 더 자세히 이해할 수 있고 이를 통해 데몬 프로세스가 오작동할 때 문제 해결에 큰 도움이 되므로 익혀둘 필요가 있습니다.

사용하려면 먼저 다음 명령어로 패키지를 설치합니다.

Loading

avcstat

avcstat 는 부팅 이후 AVC(Access Vector Cache) 에 대한 간략한 통계를 보여주는 명령어입니다. AVC 캐시 통계의 소스 파일은 /sys/ fs/selinux avc/cache_stats 이며 -f /path/to/file 옵션을 사용하여 다른 캐시 파일을 지정할 수 있습니다.

Loading

실행시 마지막 옵션으로 초 단위의 interval 을 주어서 업데이트 된 통계를 표시할 수 있습니다.

Loading

업데이트된 통계를 표시할 경우 표시 주기(위의 예에서는 3초)내에서 처리한 AVC 캐시 통계를 보여주므로 최초 출력보다 숫자가 작게 되며 -c 옵션을 주면 누적된 통계를 표시해 줍니다.

seinfo

seinfo 는 정책 클래스 갯수, 타입, 허용하는 규칙등 SELinux 의 보안 정책을 조회하고 보고서를 출력해주는 유용한 유틸리티입니다.

seinfo 를 옵션없이 실행하면 현재 정책을 요약해서 볼 수 있습니다.

Loading

등록된 정책은 3,916 개의 Types 을 갖고 있으며 236 개의 불린, 483개의 포트 컨텍스트가 있음을 알수 있습니다.

--portcon 옵션을 사용하면 포트 번호에 할당된 보안 컨텍스트를 확인할 수 있으며 --protocol 옵션을 같이 사용하면 tcp 나 udp 를 구분하여 조회할 수 있습니다.

다음 명령어는 tcp 443 포트에 할당된 컨텍스트를 출력합니다.

Loading

첫 줄의 의미는 portcon 이라는 포트 컨텍스트가 tcp 443이며 http_port_t 레이블이 할당되어 있으므로 이 레이블이 할당된 프로세스에서 접근할 수 있다는 의미이며 두 번째 줄은 tcp 1 에 511 포트는 reserved_port_t 라는 레이블이 적용되어 있음을 확인할 수 있습니다.

기본적으로 SELinux 는 1024 미만의 포트는 reserved_port_t 라는 레이블을 붙이며 1024 이상의 포트는 port_t 레이블을 부여합니다.

sesearch

sesearch 는 seinfo 처럼 SELinux 의 규칙을 조회할 수 있는 유틸리티이며 seinfo 보다 더 세밀한 규칙으로 조회할 수 있는 특징이 있습니다.

많이 사용하는 옵션은 허용하는 정책을 조회하는 --allow(줄여서 -A) 로 소스 컨텍스트를 지정하는 -s 옵션과 타겟 컨텍스트를 지정하는 -t 옵션과 함께 사용합니다.

다음 예제는 소스 타입이 httpd_t 이고 타겟이 http_port_t 일 경우 허용하는 정책을 표시합니다.

Loading

--direct(-d) 옵션은 -s 와 -t 로 지정한 컨텍스트 타입과 정확하게 일치하는 type 만 표시합니다.

출력 결과중 다음 내용의 의미는 httpd_t 컨텍스트가 지정된 프로세스는 http_port_t 타입의 udp 소켓에 bind 할 수 있다는 의미로 허용한 전체 정책을 합산하면 httpd_t 프로세스는 http_port_t 타입의 udp, tcp 에 bind 와 connect 를 할 수 있으므로 클라이언트로 해당 포트에 연결하거나 서버로 포트 리슨이 가능합니다.

allow httpd_t http_port_t : udp_socket name_bind ;

SELinux 사용시 많이 하는 실수는 웹 컨텐츠 디렉터리에 적절한 컨텍스트를 지정하지 않아 웹 서버가 읽지 못하는 경우가 많습니다.

이런 문제 방지를 위해 httpd 프로세스가 httpd_sys_content_t 에 대해 어떤 권한을 갖고 있는지 다음 명령으로 확인해 봅시다.

Loading

첫 번째 allow 로 시작하는 라인의 출력의 의미는 다음과 같습니다.

httpd_t 는 httpd_sys_content_t 가 설정된 파일에 대해 ioctl, read, getattr, lock, open system call 이 가능

풀어서 설명하면 httpd_t 는 httpd_sys_content_t 가 지정된 파일과 디렉터리를 읽을 수 있습니다.

하지만 3번째 allow 로 시작하는 file 항목을 보면 system call 중에서 write 가 빠져 있으며 이때문에 httpd_t 가 지정된 프로세스는 httpd_sys_content_t 타입에 대해 쓸수 없습니다.

allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open } ;

이는 최신 버전의 SELinux 의 주요 변경 사항으로 예전에는 httpd_sys_content_t 가 설정되었을 경우 웹 서버가 읽기/쓰기가 모두 가능하므로 첨부 파일 업로드 기능이 있는 웹 사이트라면 해킹 프로그램을 업로드해서 공격하는 경우가 많았습니다.

이런 문제때문에 최신 버전의 SELinux는 httpd_sys_content_t 는 읽기 전용, httpd_sys_rw_content_t 는 쓰기 가능으로 정책이 분리되었습니다.

이런 변경 사항을 모른다면 워드프레스등의 CMS 를 사용할 경우 http 이미지나 첨부 파일을 업로드하는 폴더에 대해 쓰기를 못하므로 서비스가 제대로 안 되어 급한 마음에 SELinux 를 끄게 하는 원인이 됩니다.

복잡하지만 좋은 해결책은 업로드 폴더같이 명시적으로 쓰기가 필요한 폴더에 httpd_sys_rw_content_t 컨텍스트를 부여하는 것입니다.

그러면 httpd_sys_rw_content_t 는 어떤 설정을 갖고 있길래 쓰기가 가능한지를 sesearch 명령을 사용하여 조회해 봅시다.

Loading

위와 같이 file, lnk_file, dir 의 권한에 write, create,remove 가 설정되어 있는 것을 확인할 수 있으며 이때문에 웹 서버는 해당 컨텐스트가 부여된 컨텐츠에 쓰기가 가능해 집니다.

findcon

findcon 은 SELinux context 를 검색해 주는 유틸리티로 아래와 같은 형식으로 사용합니다.

findcon FCLIST [OPTIONS] [EXPRESSION]

FSLIST 는 File Context List 의 약자로 어디에서 컨텍스트를 읽을 지를 의미하며 아래의 3가지 항목을 입력할 수 있습니다.

directory
해당 디렉토리와 그 하위 디렉터리에서 주어진 조건에 맞는 정책을 검색합니다.
file_contexts
FCLIST가 file_contexts 파일의 이름(예: /etc/selinux/targeted/contexts/files/file_contexts) 이면 해당 정책 파일에서 일치하는 항목을 검색합니다.
database
indexcon 또는 apol 이라는 SELinux 정책 유틸리티의 실행으로 생성된 데이타 베이스를 분석할 경우에 사용합니다.

만약 현재 디렉터리내의 모든 파일과 폴더에 대해서 컨텍스트를 출력하며 필드 값은 다르지만 ls -RlaZ 과 비슷한 결과를 출력합니다.

Loading

-t 옵션을 주어서 원하는 컨텍스트를 가진 파일과 폴더를 찾을 수도 있습니다. 아래는 웹 서버의 컨텐츠 디렉터리에서 웹 서버가 쓰기 가능한 httpd_sys_rw_content_t 가 부여된 파일과 폴더를 출력합니다.

Loading

FCLIST가 file_contexts 일 경우 정책 파일내에서 일치하는 내용을 찾게 되며 이는 httpd_sys_rw_content_t 같은 특정 컨텍스트가 부여되는 디렉터리의 목록을 조회하는데 유용합니다.

다음 명령어로 httpd_sys_rw_content_t 가 부여되는 경로를 확인해 볼 수 있습니다.

Find entries user system_u and type bin_t within a file_contexts file, assuming that file_contexts is a file contexts file.

Loading

진하게 표시한 /var/www/svn(/.*)? 과 /var/www/html(/.*)?/wp-content 을 보면 정규식으로 폴더를 기술해 놓았으며 이는 /var/www/svn/myproj 나 /var/www/html/wordpress-site/wp-content 와 일치합니다.

즉 위 경로에 서브버전 저장소를 만들거나 워드프레스 사이트를 구성할 경우 SELinux는 자동으로 해당 폴더에 웹 서버의 쓰기를 허용하므로 정책을 손대지 않고도 견고하게 편리하게 웹 서비스를 제공할 수 있습니다.

Loading

Browser not supported