🎾

AppArmor vs SELinux

→ SELinux

관리자가 시스템 액세스 권한을 효과적으로 제어할 수 있게 하는 Linux 시스템용 보안 아키텍처
Security-Enhanced Linux의 약자

SELinux는 2000년에 오픈소스 커뮤니티에 릴리스 되어 2003년에 업스트림 Linux 커널로 통합 됨

How to work?

SELinux는 시스템의 애플리케이션, 프로세스, 파일에 대한 액세스 제어를 정의한다.

액세스 할 수 있는 대상을 정하는 룰 세트인 보안 정책을 사용하여 허용된 액세스를 실행한다.

액세스를 시도하는 주체인 애플리케이션이나 프로세스가 파일과 같은 객체에 액세스를 요청하는 경우,

SELinux는 주체와, 대상이 되는 객체에 대한 권한이 캐시되는 AVC(Access Vector Cache)를 확인한다.

SELinux가 스스로 액세스에 대한 결정을 내릴 수 없는 경우 보안 서버에 액세스 접근 요청을 전송하는데,

보안 서버는 주체인 애플리케이션이나 프로세스의 보안 컨텍스트와 파일을 확인한다.

그 뒤 액세스 권한이 허용되거나 거부된다.

권한 거부 시 avc: denied라는 메시지가 /var/log.messages에 나타난다.

How to setting?

일반적인 방법은 타겟 정책 또는 다단계 정책이라 불리는 MLS(Multi-Level Security)이다.

타겟 정책 은 기본 옵션으로 다양한 프로세스와 태스크 및 서비스를 처리한다.

MLS는 매우 복잡할 수 있어 보통 정부 기관에서만 사용한다.

/etc/sysconfig/selinux 파일을 보면 시스템이 어떤 방법으로 실행되어야 하는지 알 수 있다.

SELinux가 permissive mode인지, enforcing mode인지, 또는 비 활성화 모드인지 그리고 어느 정책이 로드 되어야 하는지 보여주는 섹션이 있다.

DAC(임의 액세스 제어) , MAC(필수 액세스 제어)

전통적인 Linux와 UNIX 시스템은 DAC를 사용하였다. SELinux는 Linux용 MAC 시스템의 한 예이다.

DAC 시스템 사용 시 파일과 프로세스에는 소유자가 존재한다. 사용자가 파일을 소유 하거나 그룹이 파일을 소유하거나 다른 사람이 파일을 소유할 수 있다. 더해서 소유자는 자신의 파일에 대한 권한을 변경할 수 있다.

root 사용자는 DAC 시스템에 대한 전체 액세스 권한을 가진다. root 권한이 있으면 다른 사용자의 파일에 접근할 수 있고 시스템의 모든 작업을 수행할 수 있다.

하지만 SELinux와 같은 MAC 시스템에서는 액세스에 대해 관리적으로 설정된 정책이 있다. 다시 말해 시스템 전체의 액세스에 대한 정책이 있다는 말과 같다. 따라서 홈 디렉터리의 DAC 설정이 변경 되더라도 다른 사용자나 프로세스가 디렉터리에 접근할 수 없게하는 SELinux 정책이 시스템을 안전하게 유지한다.

→ AppArmor

Application Armor의 약자로 리눅스 커널 보안 모듈이다.

AppArmor는 시스템 관리자가 프로그램 프로필 별로 프로그램의 역량을 제한할 수 있게 해주는 리눅스 커널 보안 모듈이다.

MAC(강제적 접근 통제)를 제공함으로써 전통적인 DAC(임의적 접근 통제) 모델을 지원한다.

→ 비교

type\categories	OS	Security Model	복잡도
SELinux	RedHat(RHEL, Fedora, CentOS)	MAC (시스템 전체)	복잡
AppArmor	SUSE, Debian 계열	MAC (개별 프로그램)	간단

Reference

https://2infinity.tistory.com/59

https://www.redhat.com/ko/topics/linux/what-is-selinux

https://velog.io/@joonpark/SELinux-vs-AppArmor