Table des matières
SELinux c'est un module de sécurité du noyau Linux, cela signifie Sécurité améliorée Linux ou alors Linux avec sécurité renforcée.Ce module de sécurité Linux qui fournit diverses politiques de sécurité, y compris des contrôles d'accès, peut être appliqué aux systèmes de type Unix tels que Linux et BSD.
Il vient activé dans CentOS et dans la plupart des distributions modernes, il est généralement activé sur les serveurs.
Nous allons le voir non pas comme une application de bureau mais, comme un système de sécurité sur le serveur, ce que fait Selinux est de vérifier à tout moment si le fichier auquel vous essayez d'accéder est valide et a la permission d'être utilisé par l'application qui veut ça marche.
En plus de contrôler les fichiers, il contrôle également les ports. Un cas de contrôle est que si on essaie de démarrer un serveur FTP, il faut d'abord lui donner les autorisations correspondantes pour que le serveur puisse écouter sur le port, sinon cela ne fonctionnera pas, normalement cette configuration se fait lors de l'installation.
Nous supposons qu'il est déjà installé et nous allons le configurer
SELinux a sa propre base de données d'utilisateurs qui est associée à la base de données d'utilisateurs Linux normale. Les identités sont utilisées à la fois dans les sujets et les objets. Seuls quelques utilisateurs SELinux sont définis : (peut être répertorié par la commande 'semanage user -l'):
Annuaire /etc/selinux est l'emplacement principal de tous les fichiers de stratégie ainsi que le fichier de configuration principal.
Utilitaires et programmes SELinux
Voyons quels sont certains des programmes utilitaires utilisés le plus souvent par selinux
/usr/bin/setenforce : modifie la façon dont selinux s'exécute en temps réel. lors de l'exécution de la commande setenforce 1, selinux est placé en mode fiscal, c'est-à-dire que les règles de sécurité seront actives. si nous exécutons setenforce 0, selinux est mis en mode permissif.
pour désactiver selinux, il faut configurer le paramètre dans /etc/sysconfig/selinux ou passer le paramètre
selinux = 0 au noyau, ou si nous le voulons depuis le démarrage du système d'exploitation, nous ajoutons la commande au fichier /etc/grub.conf.
/ usr / bin / sestatus -v- Obtenir l'état détaillé d'un système exécutant selinux. L'exemple ci-dessous montre un extrait de la sortie sestatus
# sestatus Statut SELinux : activé Montage SELinuxfs : / selinux Mode actuel : application Mode du fichier de configuration : application Version de la politique : 21 Politique du fichier de configuration : ciblé
Selinux a une interface graphique mais comme il peut être géré à distance avec ssh, nous expliquons les commandes.
getsebool -a | grep text
Le texte peut être un service ou un programme que l'on veut par exemple
getsebool -a | grep ftp
Par exemple à partir de cette commande on peut obtenir un statut de ftp
allow_ftpd_anon_write -> on // Autorise l'accès aux utilisateurs anonymes par ftp sur le serveur allow_ftpd_full_access -> on // Autorise la lecture et l'écriture des fichiers ftp_home_dir -> on // Autorise l'utilisateur à accéder à ses répertoires personnels
Nous devons connaître chaque service sur notre serveur pour pouvoir vérifier quelle est chaque règle que Selinux contrôle et comment elle est configurée.
