La politique SELinux décrit les autorisations d'accès pour tous les utilisateurs, programmes, processus, fichiers et appareils sur lesquels ils agissent. SELinux implémente l'une des deux politiques différentes :
- Ciblé :Cette stratégie par défaut applique des contrôles d'accès à certains processus (ciblés).
- MLS : Sécurité à plusieurs niveaux
Sélectionnez le type de politique dans l'interface graphique SELinux ou définissez la directive SELINUXTYPE dans le fichier /etc/selinux/config. Exemple :
# vim /etc/selinux/config SELINUXTYPE=targeted
Avec la stratégie ciblée, les processus ciblés s'exécutent dans leur propre domaine, appelé domaine confiné. Dans un domaine confiné, les fichiers auxquels un processus ciblé a accès sont limités. Si un processus confiné est compromis par un attaquant, l'accès de l'attaquant aux ressources et les dommages éventuels qu'il peut causer sont également limités. SELinux refuse l'accès à ces ressources et enregistre le refus.
Seuls des services spécifiques sont placés dans ces domaines de sécurité distincts qui sont confinés par la politique. Par exemple, un utilisateur s'exécute dans un domaine totalement non confiné tandis que les services qui écoutent sur un réseau les demandes des clients, tels que named, httpd et sshd, s'exécutent dans un domaine confiné spécifique adapté à son fonctionnement. Les processus qui s'exécutent en tant qu'utilisateur racine Linux et exécutent des tâches pour les utilisateurs, telles que l'application passwd, sont également confinés.
Les processus qui ne sont pas ciblés s'exécutent dans un domaine non confiné. Les règles de politique SELinux autorisent presque tous les accès aux processus exécutés dans des domaines non confinés. Si un processus non confiné est compromis, SELinux n'empêche pas un attaquant d'accéder aux ressources et aux données du système. Les règles DAC s'appliquent toujours dans un domaine non confiné. Voici des exemples de domaines non confinés :
- domaine initrc_t :les programmes init s'exécutent dans ce domaine non confiné.
- domaine kernel_t :des processus de noyau non confinés s'exécutent dans ce domaine.
- domaine unconfined_t :les utilisateurs Linux connectés au système s'exécutent dans ce domaine.
De nombreux domaines protégés par SELinux ont des pages de manuel décrivant comment personnaliser leurs politiques. La configuration de chaque politique est installée dans /etc/selinux/[SELINUXTYPE] répertoires. L'exemple suivant montre une liste partielle de /etc/selinux répertoire avec les politiques ciblées et MLS installées :
# ll -lrt /etc/selinux/ total 16 -rw-r--r--. 1 root root 546 Jan 1 2017 config drwxr-xr-x. 2 root root 6 Aug 4 2017 tmp -rw-r--r--. 1 root root 2321 Aug 4 2017 semanage.conf drwxr-xr-x. 7 root root 4096 Feb 19 19:20 targeted drwx------. 2 root root 6 Feb 19 19:20 final drwxr-xr-x. 7 root root 4096 Mar 5 16:39 mls
La politique ciblée est installée par défaut, mais la politique MLS ne l'est pas. Pour utiliser la politique MLS, installez le package selinux-policy-mls :
# yum install selinux-policy-mlsGuide du débutant sur SELinux
Comment désactiver ou régler SELinux en mode permissif
Comment vérifier si SELinux est activé ou désactivé
Comment activer/désactiver les modes SELinux dans RHEL/CentOS
Comment sont les modes SELinux et comment les configurer