SELINUX 공개 책

http://www.freetechbooks.com/efiles/selinuxnotebook/The_SELinux_Notebook_The_Foundations_3rd_Edition.pdf

2.8 Subjects 서부젝트
A subject is an active entity generally in the form of a person, process, or device that
causes information to flow among objects or changes the system state.
서브젝트란 뭔가? 변화되는 애들이다. 사람이나 프로세스나 디바이스의 모냥을
하고 있다.  걔네들은 그리고 오브젝트나 시스템 변화간에 정보 흐름 관련한 것들이다.
Within SELinux a subject is generally an active process and has a security context
associated with it, 여기선 subject가 일반적으로 active한 프로세스와 그것과 관련있는
보안 context다. however a process can also be referred to as an object depending on
the context in which it is being taken, 그러나 프로세스는 context가 부여되는 오브젝트로
불려지기도 한다.
for example: 예를 들면
1. A running process (i.e. an active entity) is a subject because it causes
information to flow among objects or can change the system state.
동작하는 프로세스는 서브젝트이다. 오브젝트로 정보를 보내거나
시스템 상태를 바꿀 수 있기 때문이다.
2. The process can also be referred to as an object  프로세스는 오브젝트로 불려진다.
because each process has an 왜냐면 서로다른 프로세스는
associated object class4 called ‘process’. '프로세스'라고 불리는 오브젝트랑 관련되어있기 때문이다.
This process ‘object’, defines what permissions the policy is allowed
to grant or deny on the active process. 이런 프로세스 오브젝트는 어떤 퍼미션 정책이 실행중인
프로세스에 허용되거나 허용되지 않았는지 정의한다.
An example is given of the above scenarios in the Allowing a Process Access to an
Object section. 다음에 시나리오로 설명한 예제가 있다.

In SELinux subjects can be: 서브젝트는 다음과 같이 될수가 있다.
Trusted 믿음이 가는– Generally these are commands, applications etc. that have been written
or modified to support specific SELinux functionality to enforce the security
policy (e.g. the kernel, init, pam, xinetd and login).  일반적로 이것들은 명령어들,
앱들 혹은 SELinux가 보안 기능을 지원하도록 만들어지거나 수정된  것들이다.
However, it can also cover any application that the organisation is willing to trust as a part of the overall system. 그러나 그뿐 아니라 전체 시스템의 일부로서 신뢰가는 앱이 되려는 애들도
커버한다.
Although 비록(depending on your paranoia level네 상상에 달렸지만), the best policy is to trust nothing until it has been verified that it conforms to the security policy. 최고의 정책은
보안 정책을 따르도록 확인되기 전까지 아무것도 신뢰하지 않는 것이다.
Generally these trusted applications would run in either their own domain  일반적으로 신뢰가는
앱은 자신의 도메인에서 실행한다. (e.g. the audit daemon could run under auditd_t 오딧 데몬은
오닛데몬 타입에서 실행할 수 있다) or grouped together 아니면 뭉친다.
 (e.g. the semanage(8) and semodule(8) commands could be grouped under semanage_t 요런
애들은 semanager 타입으로 뭉쳤다.).
Untrusted 못 믿는– Everything else. 다른 애들 다.
2.9 Objects
Within SELinux an object is a resource such as files, sockets, pipes or network
interfaces that are accessed via processes (also known as subjects). These objects are
classified according to the resource they provide with access permissions relevant to
their purpose (e.g. read, receive and write), and assigned a security context as
described in the following sections.

 SELinux에서는 파일, 소켓, 파이프, 네트웍 인터페이스같은 자원이 오브젝트다.
프로세스를 통해서 접근되어질 수 있는 얘네들은 분류된다. 그들의 목적에 관련된
접근 정책과 함께 제공된 자원에 따라.(예를들어 읽기, 전송받기, 쓰기) 그리고 다음
섹션에 구체적으로 나올 시큐리티 컨텍스트에 따라 할당된다.