Généralités système Linux

SELinux : Quelques infos

Table des matières

selinux_banner





Introduction





SElinux - pour « Security-Enhanced Linux » - permet de définir des politiques d'accès à différents éléments du système d'exploitation. Ces éléments peuvent être des processus (démons), ou encore des fichiers.





Activer Désactiver Statut de SELinux





Statut de SELinux





Voici la première commande de selinux : sestatus.

Cette commande permet d'obtenir le statut de SELinux :



Code BASH :
sestatus




Qui chez moi renvoie :



Code BASH :
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28




Désactiver SELinux





Pour désactiver SELinux de manière temporaire, on peut exécuter cette commande :

Code BASH :
setenforce 0




Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à disabled



Code BASH :
vi /etc/sysconfig/selinux




Code BASH :
SELINUX=disabled




Le système doit être redémarré pour prendre en compte les modifications du fichier /etc/sysconfig/selinux



Activer SELinux





Pour activer SELinux de manière temporaire, on peut exécuter cette commande :

Code BASH :
setenforce 1




Pour le faire de manière définitive, éditer /etc/sysconfig/selinux et placer la variable SELINUX à enforcing



Code BASH :
vi /etc/sysconfig/selinux




Code BASH :
SELINUX=enforcing




Le système doit être redémarré pour prendre en compte les modifications du fichier /etc/sysconfig/selinux



Les booléens SELinux





Les booléens permettent de modifier une politique SELinux, sans avoir la moindre connaissance ou compétence sur le sujet de la rédaction de politiques.



Pour lister les booléens :



Code BASH :
getsebool -a




On peut filtrer cette liste avec grep tout simplement :



Code BASH :
getsebool -a | grep zabbix




Ce qui renvoie dans mon exemple :



Code BASH :
httpd_can_connect_zabbix --> off
zabbix_can_network --> off




Pour changer la valeur (on ou off) on utilise la commande setsebool :



Code BASH :
 setsebool -P zabbix_can_network on




L'option -P permet de rendre la directive permanente après redémarrage.
Cette page a été vue 2921 fois