RHEL 7 - Notes RHCSA - Définir les modes d'application et permissifs pour SELinux

RHEL 7 - Remarques RHCSA (aide-mémoire)

Modes SELinux

SELinux donne cette couche de sécurité supplémentaire aux ressources du système. Il fournit le MAC (contrôle d'accès obligatoire) contrairement au DAC (Contrôle d'accès discrétionnaire). Avant de plonger dans la configuration des modes SELinux, voyons quels sont les différents modes de fonctionnement SELinux et comment fonctionnent-ils. SELinux peut fonctionner dans n'importe lequel des 3 modes :

1. Obligatoire  : les actions contraires à la politique sont bloquées et un événement correspondant est consigné dans le journal d'audit.
2. Permissif  : les actions contraires à la politique sont uniquement consignées dans le journal d'audit.
3. Désactivé :Le SELinux est entièrement désactivé.

Fichier de configuration

Fichier de configuration SELinux /etc/selinux/config :

# cat  /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Basculer entre les modes SELinux (temporairement)

Pour basculer temporairement entre les modes SELinux, nous pouvons utiliser la commande setenforce comme indiqué ci-dessous :

# setenforce [ Enforcing | Permissive | 1 | 0 ]

0 –> Permissif
1 –> Application

Vérifiez le mode actuel de SELinux :

# getenforce
Enforcing

ou nous pouvons aussi utiliser la commande sestatus pour obtenir un statut détaillé :

# sestatus
SELinux status:                 enabled         
SELinuxfs mount:                /selinux        --> virtual FS similar to /proc
Current mode:                   enforcing       --> current mode of operation 
Mode from config file:          permissive      --> mode set in the /etc/sysconfig/selinux file.
Policy version:                 24
Policy from config file:        targeted

Basculer entre les modes SELinux (en permanence) [redémarrage requis]

Le mode SELinux peut être défini de manière permanente à l'aide de l'une des méthodes ci-dessous :
1. modification du fichier /etc/selinux/config
2. modification des options de démarrage du noyau

1. modification du fichier /etc/selinux/config

pour définir SELinux sur permissif, définissez la ligne ci-dessous dans le fichier /etc/selinux/config sur :

vi /etc/selinux/config
....
SELINUX=permissive
...

De même, le mode peut être défini sur application/désactivation en définissant le mode sur la même ligne.

2. modification des options de démarrage du noyau

Modifiez la ligne de démarrage du noyau et ajoutez enforcing=0 aux options de démarrage du noyau. Par exemple :

title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp)
root (hd0,0)
kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0
initrd /initrd-2.6.9-42.ELsmp.img

Redémarrez le serveur.

# shutdown -r now

Forcer le redémarrage lors du changement de mode

On peut forcer un redémarrage en changeant le mode selinux :

# setsebool secure_mode_policyload on