Modes SELinux
SELinux s'exécute dans l'un des trois modes (ou états).
Application
Il s'agit de l'état par défaut qui applique la politique de sécurité SELinux. L'accès est refusé aux utilisateurs et aux programmes, sauf si les règles de la politique de sécurité de SELinux l'autorisent. Tous les messages de refus sont enregistrés en tant que refus AVC (Access Vector Cache).
Permissif
Il s'agit d'un état de diagnostic. Les règles de politique de sécurité ne sont pas appliquées, mais SELinux envoie des messages de refus à un fichier journal. Cela vous permet de voir ce qui aurait été refusé si SELinux fonctionnait en mode d'application.
Désactivé
SELinux n'applique pas de politique de sécurité car aucune politique n'est chargée dans le noyau. Seules les règles DAC sont utilisées pour le contrôle d'accès.
Configuration des modes SELinux
Il existe plusieurs façons de définir le mode SELinux. Une façon consiste à sélectionner le mode dans la vue État de l'interface graphique SELinux. Vous pouvez également modifier le fichier de configuration principal pour SELinux, /etc/selinux/config. Définissez le mode en modifiant la directive SELINUX dans ce fichier. Par exemple, pour définir le mode sur application :
# vim /etc/selinux/config SELINUX=enforcing
La commande setenforce est utilisée pour basculer entre les modes d'application et permissif. Les modifications apportées avec cette commande ne persistent pas après les redémarrages. Pour passer en mode application :
# setenforce 1
Pour passer en mode permissif :
# setenforce 0
Afficher le mode SELinux
Utilisez la commande getenforce pour afficher le mode SELinux actuel :
# getenforce EnforcingGuide du débutant sur SELinux
Comment désactiver ou régler SELinux en mode permissif
Comment vérifier si SELinux est activé ou désactivé
Comment activer/désactiver les modes SELinux dans RHEL/CentOS
Comprendre Politiques SELinux sous Linux