18. SElinux 란?
- 보안 강화 리눅스 (Security-Enhanced Linux)
- 접근 제어 보안 정책을 지원하는 리눅스 커널 보안 모듈
vs
vs
19. SElinux 란?
- 보안 강화 리눅스 (Security-Enhanced Linux)
- 접근 제어 보안 정책을 지원하는 리눅스 커널 보안 모듈
vs
vs
20. SElinux 란?
- Ubuntu has a Mandatory Access Control (MAC) system similar to SELinux,
named AppArmor.
- 우분투는 default로 AppAmor 라는걸 쓴다고 함 ..
- Croup, namespace 로만은 컨테이너 보안 부족 -> SELinux 필요
- Mandatory Access Control(MAC) 매커니즘, Multi-Level Security(MLS),
Multi-Category Secutiry(MCS) 커널 기능 구현
21. SElinux 란?
- Mandatory Access Control(MAC) : OS 가 subject(주로 프로세스/쓰레드) ->
object(파일,공유메모리,포트,IO 디바이스) 로의 작업수행을 제어하는 것.
- Multi-Level Security(MLS) : 유저 or 구분에 따른 권한관리
- Multi-Category Secutiry(MCS) 커널 기능 구현
- sVirst 는 SELinux 를 기반으로 MAC 프레임웤을 제공하기 위해 Libvirt 와
통합됨.
- 결론은,
- Host 프로세스와 컨테이너 프로세스를 안전히 분리하기 위한 것.
22.
23. Container 계층
- Container : 이미지를 기반으로
구동했을 때 active component.
(프로세스 같은 느낌?)
- Image : 컨테이너의 환경설정의
스냅샷. Read-only. 안바뀜.
절대적.
- 컨테이너를 구동할 때 변동사항은
commit 해서 image 위에 writable
image 위에 image...
24. Linux Container vs KVM Virtualization
- KVM 가상머신은 커널이 필요.
- Linux Container 는 host OS 와 커널 공유
- 같은 하드웨어면 VM 보다 Container 를 더 많이 올릴 수 있음
- KVM 은 여러 종류 OS 설치 가능
- 독립/security 보장