SELinux : Quelques infos



Introduction



SElinux - pour « Security-Enhanced Linux » - permet de définir des politiques d'accès à différents éléments du système d'exploitation. Ces éléments peuvent être des processus (démons), ou encore des fichiers.


Activer Désactiver Statut de SELinux



Statut de SELinux



Voici la première commande de selinux : sestatus.
Cette commande permet d'obtenir le statut de SELinux :

Code BASH :
sestatus


Qui chez moi renvoie :

Code BASH :
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28


Désactiver SELinux



Pour désactiver SELinux de manière temporaire, on peut exécuter cette commande :
Code BASH :
setenforce 0


Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à disabled

Code BASH :
vi /etc/sysconfig/selinux


Code BASH :
SELINUX=disabled


Le système doit être redémarré pour prendre en compte les modifications du fichier /etc/sysconfig/selinux

Activer SELinux



Pour activer SELinux de manière temporaire, on peut exécuter cette commande :
Code BASH :
setenforce 1


Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à enforcing

Code BASH :
vi /etc/sysconfig/selinux


Code BASH :
SELINUX=enforcing


Le système doit être redémarré pour prendre en compte les modifications du fichier /etc/sysconfig/selinux

Les booléens SELinux



Les booléens permettent de modifier une politique SELinux, sans avoir la moindre connaissance ou compétence sur le sujet de la rédaction de politiques.

Pour lister les booléens :

Code BASH :
getsebool -a


On peut filtrer cette liste avec grep tout simplement :

Code BASH :
getsebool -a | grep zabbix


Ce qui renvoie dans mon exemple :

Code BASH :
httpd_can_connect_zabbix --> off
zabbix_can_network --> off


Pour changer la valeur (on ou off) on utilise la commande setsebool :

Code BASH :
 setsebool -P zabbix_can_network on


L'option -P permet de rendre la directive permanente après redémarrage.
Cette page a été vue 1914 fois