보안 강화 리눅스

3. 특징

SELinux는 정책과 실행을 명확하게 분리하여 잘 정의된 인터페이스를 통해 정책을 관리한다.^[5] 정책 언어와 보안 검사 구조가 독립적이어서 특정 정책에 얽매이지 않고 다양한 보안 모델을 구현할 수 있다. 커널 객체 및 서비스에 대한 개별 레이블 및 제어를 통해 세밀한 접근 통제가 가능하다.^[8] 시스템 무결성(도메인 유형) 및 데이터 기밀성 보호를 위한 다단계 보안(MLS)을 지원한다. 유연한 정책 설정을 통해 프로세스 초기화, 상속, 프로그램 실행, 파일 시스템, 네트워크 등 다양한 자원에 대한 접근을 제어한다. 접근 벡터 캐시(AVC)를 통해 접근 결정 속도를 향상시킨다.^[8] 기본 거부 정책을 채택하여 정책에 명시적으로 허용되지 않은 모든 접근을 차단한다.^[9][10][11]

SELinux는 1992년 미국 국가안보국(NSA)이 주도하여 Fluke라는 운영체제(OS) 상에서의 강제 접근 제어(MAC) 기능 연구를 위해 개발되었다. MAC 기능은 주로 다단계 보안(MLS) 기능으로 제공되는데, 접근 주체와 객체 모두에게 계층화된 권한과 레이블을 부여하여 접근을 제어한다. 하지만 이는 복잡하고 유연성이 떨어진다는 단점이 있었다.

SELinux는 이러한 문제점을 해결하기 위해 Flask라는 아키텍처를 개발하고, Flask 상에서 보안 정책 언어를 기술하여 다양한 보안 모델을 유연하게 지원하도록 설계되었다. 보안 정책 언어와 보안 검사 구조는 독립적이어서 정책이 아키텍처에 제약받지 않는다.

SELinux는 2000년 12월 22일에 공개되었고,^[6] 2003년 8월 13일에는 리눅스 커널 2.6에 LSM의 확장 모듈로서 포함되었다.

기존의 리눅스(유닉스)에서는 파일 등의 리소스 접근 제한이 퍼미션(소유자, 그룹, 기타 사용자에 대한 읽기, 쓰기, 실행 권한)에 기반한다. 슈퍼유저(root)는 이러한 퍼미션을 무시하고 접근 가능하여, root 비밀번호 유출 시 시스템 전체가 위험해질 수 있다.

SELinux는 HTTP, FTP 등의 프로세스별 접근 제한(Type Enforcement, TE)과 root를 포함한 모든 사용자에 대한 제한(RBAC)을 통해 root에 권한이 집중되는 것을 방지한다. RBAC는 "롤"이라는 도메인 묶음을 사용자에게 부여하여, 사용자가 부여받은 롤 내의 도메인 권한으로만 파일에 접근할 수 있게 한다. 이를 통해 사용자별 권한 역할 분담이 가능해져, 비밀번호 유출 시 피해를 최소화할 수 있다.

4. 구성 요소

SELinux는 사용자 프로그램, 시스템 서비스, 파일, 네트워크 리소스에 대한 접근을 제한하는 강제 접근 제어 정책을 시행한다.^[5] 이를 통해 필요한 최소 권한만 부여하여, 프로그램이나 데몬이 손상된 경우(예: 버퍼 오버플로우) 피해를 줄이거나 제거한다.^[5] 이 제한 메커니즘은 기존 리눅스의 임의 접근 제어와 독립적으로 작동하며, "루트" 슈퍼유저 개념이 없어 기존 리눅스 보안 메커니즘의 단점을 공유하지 않는다.^[5]

SELinux는 강제 접근 제어, 강제 무결성 제어, 역할 기반 접근 제어(RBAC), 타입 인포스먼트 아키텍처의 개념과 기능을 제공한다.^[5]

SELinux는 모든 사용자 또는 프로세스에 사용자 이름, 역할, 도메인(또는 유형)으로 구성된 세 개의 문자열 컨텍스트를 할당한다.^[5] 일반적으로 대부분의 사용자는 동일한 SELinux 사용자 이름을 공유하며, 접근 제어는 도메인을 통해 관리된다.^[5]

파일, 네트워크 포트 등에도 SELinux 컨텍스트가 있으며, 이는 이름, 역할(드물게 사용됨), 유형으로 구성된다.^[5] 파일 시스템의 경우 파일과 보안 컨텍스트 간의 매핑을 레이블 지정이라고 하며, 정책 파일에 정의되거나 수동으로 조정할 수 있다.^[5] 하드웨어 유형은 매우 상세하게 정의되어 있다. (예: `bin_t` - 폴더 /bin의 모든 파일, `postgresql_port_t` - PostgreSQL 포트, 5432)^[5]

SELinux의 정책 규칙은 명시적인 권한으로 구성된다.^[5] 예를 들어, 사용자가 특정 작업을 수행하기 위해 가져야 하는 도메인 등이다.^[5] 역할 및 보안 수준과 관련된 더 복잡한 매핑도 가능하다.^[5]

SELinux의 구성 요소는 다음과 같다.

5. 작동 방식

SELinux는 리눅스 커널의 주요 하위 시스템에 패치 형태로 적용되어, 강력하고 유연한 강제 접근 제어 (MAC) 아키텍처를 제공한다.^[5] 이를 통해 정보의 기밀성과 무결성을 강화하고, 변조 위협이나 응용 프로그램 보안 메커니즘 우회 문제를 해결하며, 악성 또는 결함 있는 응용 프로그램으로 인한 피해를 제한한다. 또한, 일반적인 보안 목표를 충족하는 샘플 보안 정책 구성 파일도 포함한다.^[5]

SELinux를 통합한 리눅스 커널은 사용자 프로그램, 시스템 서비스, 파일 및 네트워크 리소스에 대한 접근을 제한하는 강제 접근 제어 정책을 시행한다. 이는 작업에 필요한 최소 권한만 부여함으로써, 결함이나 손상(예: 버퍼 오버플로우 또는 잘못된 구성)이 발생한 프로그램 및 데몬이 끼칠 수 있는 피해를 줄이거나 없앤다. 이 제한 메커니즘은 기존 리눅스의 임의 접근 제어와 독립적으로 작동하며, "루트" 슈퍼유저 개념이 없고, setuid/setgid 바이너리와 관련된 기존 리눅스 보안 메커니즘의 단점을 공유하지 않는다.

SELinux가 없는 "수정되지 않은" 리눅스 시스템의 보안은 커널, 모든 권한 있는 응용 프로그램, 그리고 각 구성의 정확성에 의존한다. 이 중 하나라도 오류가 발생하면 전체 시스템이 손상될 수 있다. 반면, SELinux 기반의 "수정된" 시스템의 보안은 주로 커널과 보안 정책 구성의 정확성에 의존한다. 응용 프로그램의 정확성이나 구성에 문제가 있더라도, 개별 사용자 프로그램 및 시스템 데몬은 제한적으로 손상될 수 있지만, 다른 프로그램이나 시스템 전체의 보안을 위협하지는 않는다.

SELinux는 강제 접근 제어, 강제 무결성 제어, 역할 기반 접근 제어(RBAC), 타입 인포스먼트 아키텍처의 개념과 기능을 결합하여 제공한다. 타사 도구를 통해 다양한 보안 정책을 구축할 수 있다.

SELinux는 1992년 미국 국가안보국(NSA) 주도로 Fluke OS 상에서 MAC 기능 연구를 위해 개발되었다. MAC은 높은 보안성을 제공하지만, 주로 Multi Level Security 기능으로 제공되어 복잡하고 유연성이 떨어진다는 단점이 있었다.

이러한 문제점을 해결하기 위해 SELinux는 Flask 아키텍처를 개발하고, Flask 상에서 보안 정책 언어를 기술하여 다양한 보안 모델에 유연하게 대응할 수 있도록 설계되었다. 보안 정책 언어와 보안 검사 구조는 독립적이어서 정책이 아키텍처에 제약받지 않는다.

SELinux는 2000년 12월 22일에 공개되었고, 2003년 8월 13일에는 리눅스 커널 2.6에서 Linux Security Modules (LSM)의 확장 모듈로 메인라인에 포함되었다.

6. 사용법

SELinux는 명령 줄 유틸리티를 통해 관리할 수 있다. 다음은 몇 가지 주요 명령어들이다.

• `chcon`: 파일의 보안 컨텍스트를 변경한다.^[46]
• `restorecon`: 파일의 보안 컨텍스트를 정책에 정의된 기본값으로 복원한다.^[47]
• `setenforce`: SELinux의 실행 모드(Enforcing, Permissive, Disabled)를 변경한다.
• `getenforce`: SELinux의 현재 실행 모드를 확인한다.
• `semanage`: SELinux 정책을 관리한다.
• `audit2allow`: 감사 로그를 기반으로 새로운 SELinux 규칙을 생성한다.
• `ls -Z`, `ps -Z`: 파일 또는 프로세스의 보안 컨텍스트를 확인한다.

6. 1. 사용 예

7. 다른 보안 시스템과의 비교

SELinux는 설치된 소프트웨어가 수행할 수 있는 작업을 제한하는 여러 방법 중 하나이다. 또 다른 인기 있는 대안은 AppArmor이며, SLES, openSUSE, 데비안 기반 플랫폼에서 사용할 수 있다. AppArmor는 현재는 단종된 Immunix Linux 플랫폼의 구성 요소로 개발되었다. AppArmor와 SELinux는 서로 근본적으로 다르기 때문에 소프트웨어 제어에 대한 뚜렷한 대안을 형성한다. SELinux는 더 표현력 있는 정책 선택을 제공하기 위해 특정 개념을 재창조하는 반면, AppArmor는 DAC에 사용되는 것과 동일한 관리 의미를 필수 접근 제어 수준까지 확장하여 단순하게 설계되었다.

몇 가지 주요 차이점은 다음과 같다.

• AppArmor는 파일 시스템 객체를 inode 대신 경로 이름으로 식별한다. 즉, 접근할 수 없는 파일에 하드 링크가 생성되면 AppArmor에서 접근 가능하게 될 수 있지만, SELinux는 새로 생성된 하드 링크를 통한 접근을 거부한다.^[34] 결과적으로 AppArmor는 파일에 유형이 할당되지 않기 때문에 유형 강제 시스템이라고 할 수 없다.
• SELinux와 AppArmor는 관리 방식과 시스템 통합 방식에서도 크게 다릅니다.^[34]
• AppArmor의 작업 집합은 대부분의 SELinux 구현에서 사용할 수 있는 것보다 훨씬 작다. 예를 들어, AppArmor의 작업 집합은 읽기, 쓰기, 추가, 실행, 잠금 및 링크로 구성된다.^[35] 대부분의 SELinux 구현은 이보다 훨씬 더 많은 수의 작업을 지원한다.
• AppArmor에는 POSIX 기능을 범주적으로 제한하는 제어가 없다.
• AppArmor에는 다중 레벨 보안 개념이 없으므로 BLP 또는 Biba 강제 적용이 불가능하다.
• AppArmor 구성은 순전히 일반적인 플랫 파일을 사용하여 수행된다. SELinux는 플랫 파일과 확장된 속성의 조합을 사용한다.
• SELinux는 "원격 정책 서버" 개념을 지원한다. AppArmor의 중앙 관리는 상당히 복잡하다.

8. 안드로이드에서의 활용

미국 국가 안보국(NSA)은 보안 강화 안드로이드에 SELinux의 개념 일부를 채택하였다.^{[64] [37]} SELinux는 버전 4.3부터 안드로이드에 구현되었다.^[12]

9. 한국에서의 현황 및 과제

한국에서는 SELinux에 대한 보안 측면에서의 관심은 높지만, 실제 활용은 저조한 상황이다. 많은 시스템 통합(SI) 업체나 서비스 제공 업체들이 OS 설치 직후 SELinux를 비활성화하는 경우가 많다.^[42] 이는 IPv6와 마찬가지로 SELinux를 제대로 다룰 수 있는 기술자 양성이 부족하기 때문으로 분석된다. SELinux의 활성화를 위해서는 기술자 양성 및 인식 개선이 필요하다.

참조

_[1] 웹사이트 Security-enhanced Linux available at NSA site - MARC https://marc.info/?l[...] 2018-12-24
_[2] 웹사이트 SELinux userspace release 3.6 https://github.com/S[...] SELinux Project 2023-12-14
_[3] 웹사이트 SELinux Frequently Asked Questions (FAQ) - NSA/CSS https://www.nsa.gov/[...] National Security Agency 2013-02-06
_[4] 웹사이트 Integrating Flexible Support for Security Policies into the Linux Operating System https://www.nsa.gov/[...] 2001-02
_[5] 웹사이트 Security-Enhanced Linux - NSA/CSS https://www.nsa.gov/[...] National Security Agency 2009-01-15
_[6] 웹사이트 National Security Agency Shares Security Enhancements to Linux https://www.nsa.gov/[...] National Security Agency Central Security Service 2001-01-02
_[7] 웹사이트 Contributors to SELinux http://www.nsa.gov/s[...]
_[8] 서적 Fedora 13 Security-Enhanced Linux User Guide https://books.google[...] Fultus Corporation 2010
_[9] 웹사이트 SELinux/Quick introduction - Gentoo Wiki https://wiki.gentoo.[...]
_[10] 웹사이트 Getting Started with SELinux https://www.linode.c[...] 2020-03-18
_[11] 웹사이트 NB Overview - SELinux Wiki https://selinuxproje[...]
_[12] 웹사이트 Security-Enhanced Linux in Android https://source.andro[...] Android Open Source Project 2016-01-31
_[13] 웹사이트 SELinux https://wiki.debian.[...]
_[14] 웹사이트 How To Install SELinux on Ubuntu 8.04 "Hardy Heron" https://ubuntu-tutor[...]
_[15] 웹사이트 openSUSE News https://news.opensus[...] 2008-08-20
_[16] 웹사이트 Release Notes for SUSE Linux Enterprise Desktop 11 https://www.novell.c[...] Novell 2013-02-06
_[17] 웹사이트 SELinux on CoreOS https://coreos.com/o[...]
_[18] 웹사이트 SELinux/Commands - FedoraProject https://fedoraprojec[...] 2015-11-25
_[19] 웹사이트 chcon http://linuxcommand.[...] Linuxcommand.org 2013-02-06
_[20] 웹사이트 restorecon(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[21] 웹사이트 restorecond(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[22] 웹사이트 runcon(1) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[23] 웹사이트 secon(1) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[24] 웹사이트 fixfiles(8): fix file SELinux security contexts - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[25] 웹사이트 setfiles(8): set file SELinux security contexts - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[26] 웹사이트 load_policy(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[27] 웹사이트 booleans(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[28] 웹사이트 getsebool(8): SELinux boolean value - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[29] 웹사이트 setsebool(8): set SELinux boolean value - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[30] 웹사이트 togglesebool(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[31] 웹사이트 Ubuntu Manpage: selinux-config-enforcing - change /etc/selinux/config to set enforcing http://manpages.ubun[...] Canonical Ltd 2013-02-06
_[32] 웹사이트 Ubuntu Manpage: selinuxenabled - tool to be used within shell scripts to determine if http://manpages.ubun[...] Canonical Ltd 2013-02-06
_[33] 웹사이트 Ubuntu Manpage: selinux-policy-upgrade - upgrade the modules in the SE Linux policy http://manpages.ubun[...] Canonical Ltd 2013-02-06
_[34] 웹사이트 SELinux backgrounds https://www.suse.com[...] SUSE
_[35] 웹사이트 apparmor.d - syntax of security profiles for AppArmor http://manpages.ubun[...]
_[36] 웹사이트 Rainbow http://wiki.laptop.o[...]
_[37] 웹사이트 SELinux Related Work https://web.archive.[...] 2016-08-23
_[38] 웹사이트 PitBull Trusted Operating System https://gdmissionsys[...]
_[39] 웹사이트 49.4. Multi-Category Security (MCS) https://access.redha[...]
_[40] 메일링리스트 Security-enhanced Linux available at NSA site https://marc.info/?l[...] 2000-12-22
_[41] 웹사이트 SELinux userspace release 20191204 / 3.0 https://github.com/S[...] GitHub 2020-02-19
_[42] 웹사이트 OSSのセキュリティや開発ツール、実行基盤などの最前線の最新情報 https://thinkit.co.j[...] 2021-10-18
_[43] 웹인용 SELinux userspace release 20211022 / 3.3 https://github.com/S[...] SELinux Project 2022-04-04
_[44] 웹인용 SELinux Frequently Asked Questions (FAQ) - NSA/CSS http://www.nsa.gov/r[...] National Security Agency 2013-02-06
_[45] 문서 http://www.nsa.gov/r[...]
_[46] 웹인용 chcon http://linuxcommand.[...] Linuxcommand.org 2013-02-06
_[47] 웹인용 restorecon(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[48] 웹인용 restorecond(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[49] 웹인용 runcon(1) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[50] 웹인용 secon(1) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[51] 웹인용 fixfiles(8): fix file SELinux security contexts - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[52] 웹인용 setfiles(8): set file SELinux security contexts - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[53] 웹인용 load_policy(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[54] 웹인용 booleans(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[55] 웹인용 getsebool(8): SELinux boolean value - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[56] 웹인용 setsebool(8): set SELinux boolean value - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[57] 웹인용 togglesebool(8) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[58] 웹인용 setfiles(8): set file SELinux security contexts - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[59] 웹인용 Ubuntu Manpage: selinux-config-enforcing - change /etc/selinux/config to set enforcing http://manpages.ubun[...] Canonical Ltd 2013-02-06
_[60] 웹인용 Ubuntu Manpage: selinuxenabled - tool to be used within shell scripts to determine if http://manpages.ubun[...] Canonical Ltd 2013-02-06
_[61] 웹인용 Ubuntu Manpage: selinux-policy-upgrade - upgrade the modules in the SE Linux policy http://manpages.ubun[...] Canonical Ltd 2013-02-06
_[62] 웹인용 security_set_boolean(3) - Linux man page http://linux.die.net[...] Linux.die.net 2013-02-06
_[63] 문서 OLPC/Sugar Rainbow http://wiki.laptop.o[...]
_[64] 웹인용 SE Android http://www.nsa.gov/r[...] 2013-11-07