보안 모델SELinux은 모든 액세스 제어 규칙을 주체 엔터티(일반적으로 데이터베이스의 클라이언트)와 객체 엔터티(예: 데이터베이스 객체) 간의 관계로 설명하며, 각 객체는 보안 레이블로 식별됩니다. 레이블이 지정되지 않은 개체에 대한 액세스를 시도하면 해당 개체는 레이블이 할당된 것처럼 처리됩니다.unlabeled_t.

현재,스포츠 토토스키마, 테이블, 열, 시퀀스, 뷰 및 함수에 보안 레이블을 할당할 수 있습니다. 언제스포츠 토토이 사용 중이면 생성 시 지원되는 데이터베이스 개체에 보안 레이블이 자동으로 할당됩니다. 이 레이블은 기본 보안 레이블이라고 하며 생성자의 레이블, 새 개체의 상위 개체에 할당된 레이블 및 선택적으로 생성된 개체의 이름을 입력으로 사용하는 시스템 보안 정책에 따라 결정됩니다.

새 데이터베이스 개체는 기본적으로 상위 개체의 보안 레이블을 상속합니다. 단, 보안 정책에 유형 전환 규칙이라는 특수 규칙이 있는 경우는 제외됩니다. 이 경우 다른 레이블이 적용될 수 있습니다. 스키마의 경우 상위 개체는 현재 데이터베이스입니다. 테이블, 시퀀스, 뷰 및 함수의 경우 이는 포함하는 스키마입니다. 열의 경우 포함 테이블입니다.

테이블의 경우,db_table:선택, db_table:insert, db_table:업데이트또는db_table:삭제문의 종류에 따라 참조된 모든 대상 테이블을 검사합니다. 게다가,db_table:선택또한 참조된 열을 포함하는 모든 테이블에 대해 확인됩니다.어디에서또는돌아오는 중절, 데이터 소스로업데이트등.

참조된 각 열에 대해 열 수준 권한도 확인됩니다.db_column:선택다음을 사용하여 읽는 열뿐만 아니라 확인됩니다.선택, 그러나 다른 DML 문에서 참조되는 내용;db_column:업데이트또는db_column:삽입다음에 의해 수정되는 열도 확인됩니다.업데이트또는삽입.

예를 들어 다음을 고려해보세요:

t1 세트 업데이트 x = 2, y = func1(y) WHERE z = 100;

여기,db_column:업데이트다음 사항을 확인합니다t1.x, 업데이트 중이므로,db_column:업데이트 선택다음 사항을 확인합니다t1.y, 업데이트되고 참조되므로, 그리고db_column:선택다음 사항을 확인합니다t1.z, 참조만 되므로.db_table:업데이트 선택테이블 수준에서도 확인됩니다.

시퀀스의 경우,db_sequence:get_value다음을 사용하여 시퀀스 객체를 참조할 때 확인됩니다.선택; 그러나 현재는 다음과 같은 해당 기능의 실행에 대한 권한을 확인하지 않습니다.마지막 값().

뷰의 경우,db_view:확장확인된 후 보기에서 확장되는 개체에 대해 다른 필요한 권한이 개별적으로 확인됩니다.

기능의 경우,db_procedure:실행사용자가 쿼리의 일부로 또는 빠른 경로 호출을 사용하여 함수를 실행하려고 시도할 때 확인됩니다. 이 함수가 신뢰할 수 있는 프로시저인 경우 다음도 확인합니다.db_procedure:entrypoint신뢰할 수 있는 프로시저의 진입점으로 수행할 수 있는지 확인하는 권한입니다.

스키마 객체에 접근하려면,db_schema:검색26706_26920사용스키마에 대한 권한). 명시적인 스키마 한정이 있는 경우 사용자에게 명명된 스키마에 대한 필수 권한이 없으면 오류가 발생합니다.

클라이언트는 참조된 모든 테이블과 열이 확장된 뷰에서 비롯된 경우라도 참조된 모든 테이블과 열에 액세스할 수 있도록 허용되어야 합니다. 따라서 테이블 내용이 참조되는 방식과 관계없이 일관된 액세스 제어 규칙을 적용합니다.

기본 데이터베이스 권한 시스템을 사용하면 데이터베이스 수퍼유저가 DML 명령을 사용하여 시스템 카탈로그를 수정하고 토스트 테이블을 참조하거나 수정할 수 있습니다. 이러한 작업은 다음과 같은 경우에 금지됩니다.스포츠 토토활성화되었습니다.

SELinux각 객체 유형에 대한 일반적인 작업을 제어하기 위한 여러 권한을 정의합니다. 보안 라벨의 생성, 변경, 삭제 및 재라벨링 등. 또한 여러 개체 유형에는 해당 특성 작업을 제어할 수 있는 특별한 권한이 있습니다. 예를 들어 특정 스키마 내의 이름 항목 추가 또는 삭제 등.

새 데이터베이스 개체를 생성하려면 다음이 필요합니다.생성허가.SELinux클라이언트의 보안 레이블과 새 개체에 대해 제안된 보안 레이블을 기반으로 이 권한을 부여하거나 거부합니다. 경우에 따라 추가 권한이 필요합니다.

언제드롭명령이 실행되었습니다.드롭제거되는 개체에 대해 확인됩니다. 다음을 통해 간접적으로 삭제된 개체에 대한 권한도 확인됩니다.캐스케이드. 특정 스키마(테이블, 뷰, 시퀀스 및 프로시저) 내에 포함된 개체를 삭제하려면 추가로 다음이 필요합니다.remove_name스키마에.

언제변경명령이 실행되었습니다.setattr은 권한이 상위 개체에 대해 대신 확인되는 테이블의 인덱스 또는 트리거와 같은 보조 개체를 제외하고 각 개체 유형에 대해 수정되는 개체에 대해 확인됩니다. 경우에 따라 추가 권한이 필요합니다.

신뢰할 수 있는 절차는 보안 정의자 기능 또는 setuid 명령과 유사합니다.SELinux일반적으로 민감한 데이터에 대한 고도로 제어된 액세스를 제공할 목적으로 클라이언트의 보안 레이블과 다른 보안 레이블을 사용하여 신뢰할 수 있는 코드를 실행할 수 있는 기능을 제공합니다(예: 행이 생략되거나 저장된 값의 정밀도가 감소될 수 있음). 기능이 신뢰할 수 있는 프로시저로 작동하는지 여부는 해당 보안 레이블과 운영 체제 보안 정책에 의해 제어됩니다. 예를 들어:

postgres=# CREATE TABLE 고객(
               cid int 기본 키,
               이름 텍스트,
               신용 텍스트
           );
테이블 만들기
postgres=# customer.credit 열의 보안 레이블
               IS 'system_u:object_r:스포츠 토토_secret_table_t:s0';
보안 라벨
postgres=# 함수 생성 show_credit(int) 텍스트 반환
             AS 'SELECT regexp_replace(credit, ''-[0-9]+$'', ''-xxxx'', ''g'')
                        고객으로부터 cid = $1'
           언어 sql;
함수 생성
postgres=# 함수에 대한 보안 레이블 show_credit(int)
               IS 'system_u:object_r:스포츠 토토_trusted_proc_exec_t:s0';
보안 라벨

위 작업은 관리자가 수행해야 합니다.

postgres=# SELECT * FROM 고객;
오류: SELinux: 보안 정책 위반
postgres=# SELECT cid, cname, show_credit(cid) FROM 고객;
 시드 | c이름 |     쇼_크레딧
----+---------+---------
   1 | 타로 | 1111-2222-3333-xxxx
   2 | 하나코 | 5555-6666-7777-xxxx
(2행)

이 경우 일반 사용자는 참조할 수 없습니다.고객.신용직접적이지만 신뢰할 수 있는 절차show_credit사용자는 일부 숫자가 가려진 고객의 신용카드 번호를 인쇄할 수 있습니다.

보안 정책에서 허용하는 경우 SELinux의 동적 도메인 전환 기능을 사용하여 클라이언트 프로세스의 보안 레이블인 클라이언트 도메인을 새 컨텍스트로 전환할 수 있습니다. 클라이언트 도메인에는 다음이 필요합니다.setcurrent허가 및 또한dyntransition이전 도메인에서 새 도메인으로.

동적 도메인 전환은 사용자가 시스템에서 지시한 대로(신뢰할 수 있는 절차의 경우처럼) 아닌 자신의 선택에 따라 라벨을 전환하고 그에 따라 권한을 전환할 수 있도록 허용하므로 신중하게 고려해야 합니다. 따라서,dyntransition권한은 원래 권한보다 적은 권한 집합을 가진 도메인으로 전환하는 데 사용될 때만 안전한 것으로 간주됩니다. 예를 들면:

regression=# 스포츠 토토_getcon() 선택;
                    스포츠 토토_getcon
------------------------------------------
 unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
(1줄)

regression=# SELECT 스포츠 토토_setcon('unconfined_u:unconfined_r:unconfined_t:s0-s0:c1.c4');
 스포츠 토토_setcon 
----------------
 티
(1줄)

regression=# SELECT 스포츠 토토_setcon('unconfined_u:unconfined_r:unconfined_t:s0-s0:c1.c1023');
오류: SELinux: 보안 정책 위반

위의 예에서는 더 큰 MCS 범위에서 전환할 수 있었습니다.c1.c1023더 작은 범위로c1.c4, 하지만 다시 전환이 거부되었습니다.

동적 도메인 전환과 신뢰할 수 있는 절차의 조합은 연결 풀링 소프트웨어의 일반적인 프로세스 수명 주기에 맞는 흥미로운 사용 사례를 가능하게 합니다. 연결 풀링 소프트웨어가 대부분의 SQL 명령을 실행할 수 없는 경우에도 다음을 사용하여 클라이언트의 보안 레이블을 전환하도록 허용할 수 있습니다.스포츠 토토_setcon()신뢰할 수 있는 절차 내에서 기능; 클라이언트 레이블 전환 요청을 승인하려면 일부 자격 증명이 필요합니다. 그 이후에는 이 세션이 연결 풀러가 아닌 대상 사용자의 권한을 갖게 됩니다. 연결 풀러는 나중에 다시 다음을 사용하여 보안 레이블 변경을 되돌릴 수 있습니다.스포츠 토토_setcon()와NULL인수, 적절한 권한 확인을 통해 신뢰할 수 있는 프로시저 내에서 다시 호출됩니다. 여기서 중요한 점은 신뢰할 수 있는 프로시저만이 실제로 유효한 보안 레이블을 변경할 수 있는 권한을 갖고 있으며 적절한 자격 증명이 제공된 경우에만 그렇게 한다는 것입니다. 물론 안전한 작업을 위해서는 자격 증명 저장소(테이블, 프로시저 정의 등)를 무단 액세스로부터 보호해야 합니다.

우리는 다음을 거부합니다로드로드된 모든 모듈이 보안 정책 시행을 쉽게 우회할 수 있기 때문에 전반적인 명령입니다.