Teleport SSH Service를 위한 SELinux 모듈

SELinux를 구성하여 Teleport SSH Service를 적용하는 방법.

Note 이 기능은 현재 활발히 개발 중입니다. 향후 릴리스에서는 SELinux 정책을 확장하여 더 많은 Teleport 기능과 Teleport 관리형 업데이트와의 통합을 지원할 것입니다. Teleport SSH Service SELinux 모듈을 사용하면 SELinux가 Teleport SSH Service를 제한할 수 있습니다. Teleport SSH Service 프로세스가 명시적으로 허용된 작업만 수행할 수 있도록 하여 공격 표면을 줄이고 Teleport 바이너리가 침해되더라도 무단 작업을 방지합니다. 지원 기능 # Teleport SSH Service SELinux 모듈은 다음 Teleport SSH Service 기능을 지원합니다: SSH 연결 처리 PAM 지원 SSH 에이전트 포워딩 auditd 로깅 향상된 세션 녹화 지원 플랫폼 # Teleport SSH Service의 SELinux 정책 모듈은 Red Hat Enterprise Linux(RHEL) 8 및 9에서만 공식 지원됩니다. 설치 # SELinux 모듈을 설치하기 전에 selinux-policy-devel 패키지가 설치되어 있는지 확인합니다: $ sudo dnf install selinux-policy-devel SELinux 모듈을 설치하려면 Linux 타르볼에 포함된 install-selinux.sh 스크립트를 root 로 실행합니다: $ sudo ./install-selinux.sh # teleport가 PATH에 없는 경우 $ sudo ./install-selinux.sh -t /path/to/teleport 이 스크립트는 다음을 수행합니다: 설치된 Teleport 바이너리에서 SELinux 모듈을 추출합니다. Teleport 구성에 따라 모듈을 사용자 지정합니다. teleport_ssh SELinux 모듈을 시스템 정책에 컴파일하고 설치합니다. 기존 Teleport SSH Service 바이너리와 디렉토리에 레이블을 지정합니다. 스크립트는 모듈을 사용자 지정하고 파일과 디렉토리에 올바르게 레이블을 지정하기 위해 Teleport SSH Service의 구성 파일을 읽어야 합니다. 기본적으로 /etc/teleport.yaml 을 읽지만 -c 플래그를 사용하여 구성 파일의 다른 위치를 지정할 수 있습니다: $ sudo ./install-selinux.sh -c /path/to/teleport.yaml Note Teleport SSH Service 에이전트가 업데이트될 때마다 install-selinux.sh 를 다시 실행해야 합니다. 이렇게 하면 SELinux 모듈이 사용 중인 바이너리 버전과 일치합니다. 향후 Teleport 버전에서는 teleport-update 를 통한 관리형 업데이트가 SELinux 모듈을 관리하는 주요 방법이 될 것입니다. SELinux 모드 # SELinux는 세 가지 모드로 작동할 수 있습니다: 모드 설명 Enforcing SELinux 정책이 적용됩니다. 위반 사항이 차단되고 기록됩니다. Permissive SELinux 정책이