SELinux : Quelques infos
Table des matières
SElinux - pour « Security-Enhanced Linux » - permet de définir des politiques d'accès à différents éléments du système d'exploitation. Ces éléments peuvent être des processus (démons), ou encore des fichiers.
Voici la première commande de selinux : sestatus.
Cette commande permet d'obtenir le statut de SELinux :
Qui chez moi renvoie :
Pour désactiver SELinux de manière temporaire, on peut exécuter cette commande :
Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à disabled
Pour activer SELinux de manière temporaire, on peut exécuter cette commande :
Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à enforcing
Les booléens permettent de modifier une politique SELinux, sans avoir la moindre connaissance ou compétence sur le sujet de la rédaction de politiques.
Pour lister les booléens :
On peut filtrer cette liste avec grep tout simplement :
Ce qui renvoie dans mon exemple :
Pour changer la valeur (on ou off) on utilise la commande setsebool :
Introduction
SElinux - pour « Security-Enhanced Linux » - permet de définir des politiques d'accès à différents éléments du système d'exploitation. Ces éléments peuvent être des processus (démons), ou encore des fichiers.
Activer Désactiver Statut de SELinux
Statut de SELinux
Voici la première commande de selinux : sestatus.
Cette commande permet d'obtenir le statut de SELinux :
Code BASH :
sestatus
Qui chez moi renvoie :
Code BASH :
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28
Désactiver SELinux
Pour désactiver SELinux de manière temporaire, on peut exécuter cette commande :
Code BASH :
setenforce 0
Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à disabled
Code BASH :
vi /etc/sysconfig/selinux
Code BASH :
SELINUX=disabled
Activer SELinux
Pour activer SELinux de manière temporaire, on peut exécuter cette commande :
Code BASH :
setenforce 1
Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à enforcing
Code BASH :
vi /etc/sysconfig/selinux
Code BASH :
SELINUX=enforcing
Les booléens SELinux
Les booléens permettent de modifier une politique SELinux, sans avoir la moindre connaissance ou compétence sur le sujet de la rédaction de politiques.
Pour lister les booléens :
Code BASH :
getsebool -a
On peut filtrer cette liste avec grep tout simplement :
Code BASH :
getsebool -a | grep zabbix
Ce qui renvoie dans mon exemple :
Code BASH :
httpd_can_connect_zabbix --> off zabbix_can_network --> off
Pour changer la valeur (on ou off) on utilise la commande setsebool :
Code BASH :
setsebool -P zabbix_can_network on