verrou_fichiers


Pour reprendre la définition classique du produit, SELinux permet la configuration fine des accès de chaque processus à une liste de fichiers pré-définis.
Cela permet de rendre inexploitables certaines failles et, en cas de piratage, de limiter les conséquences d'une attaque réussie.


Sur un poste de travail Linux Standard (qui ne traite pas de données ultra-sensibles d'agents secrets toussa), on peut donc légitimement vouloir désactiver cette option présente par défaut.

Note : Il est possible de connaitre l'état actuel de SELinux via la commande "getenforce" :

# getenforce




Désactiver Selinux directement en ligne de commande


  • Tout se passe dans le fichier de configuration, donc en "root". Changez l'état "enforcing" vers "disabled" de la ligne "SELINUX=" :
# vi /etc/selinux/config


# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted



Note : La modification sera prise en compte au prochain redémarrage.


Désactivation ou activation temporaire :


Il est possible de désactiver et ré-activer SELinux de manière ponctuelle. Pour des tests par exemple et sans avoir à redémarrer. Pour cela, basculez entre le mode "enforced" et le mode "permissive" via les commandes ci-dessous.

  • Désactiver temporairement SELinux (en root) et passer en mode permissif :
# setenforce 0


  • Repasser en mode "enforcing" :
# setenforce 1




Installer l'outil graphique de gestion pour Selinux


Pour découvrir, mieux comprendre et/ou gérer SELinux, il existe une interface graphique de configuration qui peut s'avérer bien pratique.


selinux_fenetre_gestion

  • Pour installer l'outil graphique :
# yum install policycoreutils-gui


  • Pour le lancer :
# system-config-selinux


  • Si le système vous renvoie un message d'erreur type " could not open interface info ", créez le fichier manquant puis relancez l'outil :
# touch /var/lib/sepolgen/interface_info
# system-config-selinux




Un mot sur les trois modes (états) possibles avec SELinux

  • Le mode "enforcing" (traduisez renforcé) applique strictement les règles définies pour SELinux.
  • Le mode "permissive" (à utiliser lors des tests par exemple), ne bloque pas les requêtes mais liste dans les "log" les incohérences avec les règles établies.
  • Enfin, le mode "disabled", c'est à dire SELinux désactivé.



Vous souhaitez aller plus loin avec SELinux ?


Si SELinux vous intéresse, et que vous souhaitez des informations plus poussées, plutôt que de reproduire ici ce qui existe déjà, voici deux tutos assez bien faits qui méritent une visite :





Vous pouvez commenter ou participer à l'amélioration de cet article via le topic dédié du forum.