SElinux

Secure-Enhanced linux est un module qui renforce la sécurité de Linux. Il permet de définir des politiques d’accès à différents éléments du système d’exploitation tel que des processus ou des fichiers. Chaque processus est catégorisé, et en fonction de cela les fichiers sont tagués/étiquetés. Pour cela les processus ne pourront accéder qu’aux fichiers associés. Il vient améliorer la sécurité des serveurs en complétant ceux existant, si un processus viendrait à être altéré, il n’aura tout de même accès qu’aux fichiers pour celui-ci.


Les principes

SElinux peut se mettre en trois modes différents:

  • Enforcing : Il est mode par défaut, les accès sont restreints avec des règles pré-défini.
  • Permissive : Ce mode est généralement à considérer comme un mode de déboguage. En mode permissif, les règles SELinux seront interrogées, les erreurs d’accès logguées, mais l’accès ne sera pas bloqué. Ce mode peut être utile pour constater l’ensemble des erreurs SELinux posées par un processus particulier par exemple.
  • Disabled : SELinux est désactivé. Rien ne sera restreint, rien ne sera loggué.

Pour pouvoir déterminer le mode actuelle de SElinux, nous pouvons utiliser cette commande pour nous retourner l’un des trois modes cité ci-dessus:

getenforce

Pour pouvoir changer le mode actuelle, nous pouvons utiliser cette commande avec l’attribut que vous souhaitez [0/1/2]:

setenforce 0

Si un problème venait à arriver du à une configuration particulière, SElinux fournit beaucoup de log:

grep sealert /var/log/messages