Introduction
SELinux (Security-Enhanced Linux) ajoute un niveau de contrôle d’accès obligatoire (MAC) à votre système, au-delà des permissions classiques. En l’activant et en le configurant correctement, vous limitez drastiquement les risques d’exploitation d’un service compromis et renforcez la sécurité Linux de bout en bout.
1. États d’opération : Permissive vs Enforcing
SELinux propose deux modes principaux :
- Permissive : SELinux n’applique pas les règles, mais journalise toutes les violations. Idéal pour tester votre politique sans interrompre vos services.
setenforce 0 - Enforcing : SELinux bloque toutes les actions non autorisées selon la politique en place. À utiliser en production pour un contrôle d’accès obligatoire maximal.
setenforce 1
2. Gestion des contextes : semanage et chcon
Chaque fichier, processus ou port dans SELinux possède un contexte (user, role, type, niveau). Pour adapter ces contextes :
- Lister les contextes existants :
semanage fcontext -l - Modifier durablement (persistant après reboot) :
semanage fcontext -a -t httpd_sys_content_t '/var/www/mon_site(/.*)?' restorecon -Rv /var/www/mon_site - Modifier temporairement (jusqu’au prochain relabel) :
chcon -t httpd_sys_content_t /var/www/mon_site/index.html
Conclusion
En mode Enforcing, SELinux protège vos processus et vos données même si un service est compromis : toute action non prévue sera bloquée et enregistrée. Son architecture MAC en fait un pilier incontournable de la sécurité Linux.
Pour aller plus loin et sécuriser votre infrastructure, contactez-nous ou prenez rendez-vous dès aujourd’hui !
Demander à ChatGPT