SElinux

Secure-Enhan­ced linux est un module qui ren­force la sécu­ri­té de Linux. Il per­met de défi­nir des poli­tiques d’ac­cès à dif­fé­rents élé­ments du sys­tème d’ex­ploi­ta­tion tel que des pro­ces­sus ou des fichiers. Chaque pro­ces­sus est caté­go­ri­sé, et en fonc­tion de cela les fichiers sont tagués/étiquetés. Pour cela les pro­ces­sus ne pour­ront accé­der qu’aux fichiers asso­ciés. Il vient amé­lio­rer la sécu­ri­té des ser­veurs en com­plé­tant ceux exis­tant, si un pro­ces­sus vien­drait à être alté­ré, il n’au­ra tout de même accès qu’aux fichiers pour celui-ci.


Les principes

SEli­nux peut se mettre en trois modes dif­fé­rents:

  • Enfor­cing : Il est mode par défaut, les accès sont res­treints avec des règles pré-défi­ni.
  • Per­mis­sive : Ce mode est géné­ra­le­ment à consi­dé­rer comme un mode de débo­guage. En mode per­mis­sif, les règles SELi­nux seront inter­ro­gées, les erreurs d’ac­cès log­guées, mais l’ac­cès ne sera pas blo­qué. Ce mode peut être utile pour consta­ter l’en­semble des erreurs SELi­nux posées par un pro­ces­sus par­ti­cu­lier par exemple.
  • Disa­bled : SELi­nux est désac­ti­vé. Rien ne sera res­treint, rien ne sera log­gué.

Pour pou­voir déter­mi­ner le mode actuelle de SEli­nux, nous pou­vons uti­li­ser cette com­mande pour nous retour­ner l’un des trois modes cité ci-des­sus:

getenforce

Pour pou­voir chan­ger le mode actuelle, nous pou­vons uti­li­ser cette com­mande avec l’at­tri­but que vous sou­hai­tez [0/1/2]:

setenforce 0

Si un pro­blème venait à arri­ver du à une confi­gu­ra­tion par­ti­cu­lière, SEli­nux four­nit beau­coup de log:

grep sealert /var/log/messages