우분투 8.04, SELinux 도입 - 보안 강화
- Posted at 2008/03/21 21:16
- Filed under 리눅스
우분투 8.04 Hardy Heron에 SELinux(Security-Enhanced Linux)가 도입되었습니다. 기본 탑재는 아니지만, selinux 패키지를 설치하면 바로 적용됩니다.
일반적인 리눅스에서, 프로그램이 휘두를 수 있는 권한은 그 프로그램을 실행한 사용자에 따라 달라집니다. 일반 사용자 권한으로 프로그램을 실행하면 일반 사용자 권한 내에서만 움직일 수 있고, 관리자(root) 권한으로 프로그램을 실행하면 관리자 권한으로 동작합니다.
하지만 일단 프로그램이 권한을 획득하고 나면, 그 다음부터는 전적으로 프로그램의 재량에 맡겨집니다. 어떤 프로그램이 사용자 동의를 통하든 보안 버그를 이용하든, 일단 관리자 권한을 얻은 후 시스템에 손상을 가할 경우, 이를 막기란 거의 불가능합니다.
SELinux는 이렇게 권한이 남용되는 사태를 막기 위해 존재합니다. SELinux는 사용자와 프로그램, 그리고 파일과 장치에 각각 다른 권한을 지정할 수 있습니다. 어떤 프로그램에 모든 권한을 주는 대신, 그 프로그램이 수행되기에 충분한 권한만 부여할 수 있습니다. 이것으로 리눅스 시스템의 보안을 크게 높일 수 있습니다.
예를 들어, 리눅스에서 1024 이하 포트는 원래 관리자(root)만 사용할 수 있습니다. 따라서 어떤 프로그램이 1024 이하 포트를 사용하게 하고 싶으면, 어쩔 수 없이 관리자 권한을 줘야 하지요. 하지만 SELinux를 이용하면, 특정 프로그램에 관리자 권한을 부여하지 않고도 1024 이하 포트를 열게 할 수 있습니다.
SELinux는 원래 미국 국가보안국(National Security Agency, NSA)이 처음 만들어서 오픈 소스로 발표한 것입니다. 페도라는 코어 2부터, 데비안은 4.0 etch부터, 젠투는 보안 강화(Hardened) 버전으로 지원하여 왔습니다. 이번에 우분투가 그 대열에 동참하게 된 것입니다.
그러나 SELinux 적용에는 부작용도 따릅니다. 가장 큰 문제는 역시 '과민 반응'입니다. SELinux가 지나치게 엄격한 기준을 적용해서 시스템 사용에 불편이 오는 것입니다. 이러한 기준을 '정책(policy)'이라고 하는데, 페도라의 경우 처음에 정책을 너무 엄격하게 설정했다가 나중에 기본값에서 제외한 적이 있습니다.
또한 SELinux의 적용을 받는 모든 소프트웨어에 맞추어 정책을 섬세하게 설정하여야 하는데, 이것 또한 큰 진통이 필요한 작업입니다. 게다가 사용 가능한 프로그램이 추가될 때마다 끝임없이 문제가 발생하지요.
그래서 이미 SELinux가 적용되어 있는 리눅스 배포판의 사용자 중 일부는 설치 후에 SELinux를 비활성화하기도 합니다.
위와 같은 이유 때문에 우분투는 SELinux를 기본값으로 포함하지는 않고, 위에서 설명한 것처럼 selinux 패키지를 설치해야 적용되도록 설정한 것이지요.
아무쪼록 이번 도입이 우분투의 보안성을 한층 높이는 계기가 되길 바랍니다.
Hardy SELinux
Security-Enhanced Linux
하지만 일단 프로그램이 권한을 획득하고 나면, 그 다음부터는 전적으로 프로그램의 재량에 맡겨집니다. 어떤 프로그램이 사용자 동의를 통하든 보안 버그를 이용하든, 일단 관리자 권한을 얻은 후 시스템에 손상을 가할 경우, 이를 막기란 거의 불가능합니다.
SELinux는 이렇게 권한이 남용되는 사태를 막기 위해 존재합니다. SELinux는 사용자와 프로그램, 그리고 파일과 장치에 각각 다른 권한을 지정할 수 있습니다. 어떤 프로그램에 모든 권한을 주는 대신, 그 프로그램이 수행되기에 충분한 권한만 부여할 수 있습니다. 이것으로 리눅스 시스템의 보안을 크게 높일 수 있습니다.
예를 들어, 리눅스에서 1024 이하 포트는 원래 관리자(root)만 사용할 수 있습니다. 따라서 어떤 프로그램이 1024 이하 포트를 사용하게 하고 싶으면, 어쩔 수 없이 관리자 권한을 줘야 하지요. 하지만 SELinux를 이용하면, 특정 프로그램에 관리자 권한을 부여하지 않고도 1024 이하 포트를 열게 할 수 있습니다.
SELinux는 원래 미국 국가보안국(National Security Agency, NSA)이 처음 만들어서 오픈 소스로 발표한 것입니다. 페도라는 코어 2부터, 데비안은 4.0 etch부터, 젠투는 보안 강화(Hardened) 버전으로 지원하여 왔습니다. 이번에 우분투가 그 대열에 동참하게 된 것입니다.
그러나 SELinux 적용에는 부작용도 따릅니다. 가장 큰 문제는 역시 '과민 반응'입니다. SELinux가 지나치게 엄격한 기준을 적용해서 시스템 사용에 불편이 오는 것입니다. 이러한 기준을 '정책(policy)'이라고 하는데, 페도라의 경우 처음에 정책을 너무 엄격하게 설정했다가 나중에 기본값에서 제외한 적이 있습니다.
또한 SELinux의 적용을 받는 모든 소프트웨어에 맞추어 정책을 섬세하게 설정하여야 하는데, 이것 또한 큰 진통이 필요한 작업입니다. 게다가 사용 가능한 프로그램이 추가될 때마다 끝임없이 문제가 발생하지요.
그래서 이미 SELinux가 적용되어 있는 리눅스 배포판의 사용자 중 일부는 설치 후에 SELinux를 비활성화하기도 합니다.
위와 같은 이유 때문에 우분투는 SELinux를 기본값으로 포함하지는 않고, 위에서 설명한 것처럼 selinux 패키지를 설치해야 적용되도록 설정한 것이지요.
아무쪼록 이번 도입이 우분투의 보안성을 한층 높이는 계기가 되길 바랍니다.
Hardy SELinux
Security-Enhanced Linux
Posted by 랜덤여신
- Tag
- hardy, linux, permission, security, SELinux, ubuntu, 권한, 리눅스, 보안, 우분투
- Response
- No Trackback , 8 Comments
Trackback URL : http://barosl.com/blog/trackback/714
Comments List
-
비스타의 UAC보다 더 귀찮은가요?
-
SELinux는 시스템이 어떻게 권한을 배분해야 하는지, 즉 '정책'을 결정할 뿐이며, 사용자의 입력을 받는 기술은 아닙니다. 정확한 비교는 아니지만, 윈도우의 그룹 정책(gpedit.msc)과 닮았다고나 할까요?
-
-
전에 우분투가 보안이 취약하다는 기사를 본 적이 있는 것 같은데...
잘된일이라고 보내요 ㅎㅎ 8.04 내심 기대도 되지만, 막 안정을 되찾은(?) 제 놋북에 또 폭풍이 불어닥칠지 걱정도 된답니다 ㅠㅠ... -
뭔지는 모르겠지만 강력한 OS로 성장해가길 바랍니다^^ 8.04는 역시 무지 기대중입니다..^^
-
우분투 8.04 ~ 제일 기대됩니다~
비스타 SP1보다도 윈도우 xp SP3보다도.. -
사실 ubuntu에는 apparmor가 기본으로 설치되기 때문에 (심지어 supported, 즉 캐노니컬에서 지원됨) selinux는 main에 포함되지 못하고 universe같은 곁다리 패키지로 지원되는거 같은데요?
-
그래서 SELinux 도입할 것이라면 애초에 AppArmor는 왜 추가했냐, 중복 지원 아니냐, 이런 말도 있더군요.
-
-
^^ 8.04 기대 되네요...
ㅎㅎㅎ... 베타라도 한번 깔아 볼까나???
ㅡ.ㅡ 실질적으로 selinux 를 쓰기란... 흠...
