리눅스를 10년간 이상 사용해 오면서 SELINUX는 그냥 애물단지로만 생각했었는데 요즘엔
조금씩 괜찮은 솔루션이라는 생각이 든다. 관련 일을 하고 있어서겠지.
우선 SELINUX를 알기 위해서는 rwx rwx rwx, 명령어로는 chown, chmod를 알아야 한다.
------------ 이제 모두 안다고 가정하자.
root는 chown이나 chmod를 해서 해당 context의 권한을 바꿀 수 있다.
그러나 미리 정해져서 root 도 바꿀 수 없는 extended attributes가 있는데
그게 seinfo 값이고 이것을 지원하는 LINUX PULUG IN이 SELINUX 다.
------ 라고 이해하면 쉽다.
SEANDROID 정책은 빌드 할 때 나오므로 한번 플래싱을 하고 나면 정책을 바꾸지
않는 이상 root 유저도 권한을 얻지 못한다. 리눅스나 윈도우의 chattr로 애트리뷰트를
변경하고 나면 root나 admiistrator도 해당 context를 지울 수 없는 것과 같다.
그러나 애트리뷰트는 변경가능하다. 변경 후 지우면 지워지는데 SELINUX는 컴파일 타임,
인스톨 타임 때 정해진 또다른 이름(도메인)에 부여된 권한에 의해 통재된다.
댓글 없음:
댓글 쓰기
국정원의 댓글 공작을 지탄합니다.