February 2021
Beginner to intermediate
252 pages
5h 36m
Korean
Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
8.3 SELinux
151
것도 가능하다. 강제 접근 제어를 이용하면 관리자는 개별 사용자들의 그런 임의적인 접근 권
한 설정을 금지할 수 있으며, 따라서 시스템에서 일어날 수 있는 일들을 좀 더 세밀하게 제어할
수 있다.
AppArmor
에는 ‘불평 (
complain
)’ 모드라는 것이 있는데, 이 모드에서 실행 파일을 실행
하면 프로파일 위반 사항들이 모두 로그에 기록된다. 그 로그를 살펴보고 프로파일을 적절히
갱신하는 과정을 반복하다 보면 응용 프로그램이 프로파일을 전혀 위반하지 않게 될 것이다.
그러면 해당 응용 프로그램에 대한 적절한 프로파일이 만들어진 것이므로 그때부터는 해당 응
용 프로그램에 대해 그 프로파일을 강제하면 된다.
참고:
컨테이너에 대한
AppArmor
프로파일을 만들 때는
bane
(
https
://
oreil
.
ly
/
Xe7YZ
)을 추천한다.
프로파일을 만들었다면, 그것을
/
etc
/
apparmor
디렉터리에 설치하고
apparmor
_
parser
라는 도구를 실행해서 프로파일을 적재한다. 현재 적재된 프로파일들은
/
sys
/
kernel
/
security
/
apparmor
/
profiles
에서 볼 수 있다.
컨테이너를
docker
run
--
security
-
opt
="
apparmor
:<프로파일 이름>" ...
로 실행하
면 컨테이너는 지정된 프로파일이 ...