GNU/Linux >> Tutoriels Linux >  >> Linux

Sécurité Linux :manipulation des politiques SELinux avec des booléens

Security-Enhanced Linux, mieux connu sous le nom de SELinux, existe depuis un certain temps maintenant, et pour une bonne raison. Développé à l'origine par l'Agence de sécurité nationale, il fait partie de la communauté open source depuis 2000 et fait partie du noyau Linux depuis 2003. SELinux aide les administrateurs à garder un œil sur la manière dont les différentes parties d'un système Linux peuvent effectuer des actions avec précision. contrôles.

Fonctionnement de base

En bref, SELinux utilise une base de données de politiques pour approuver ou refuser l'accès à des fichiers, des applications ou des processus sur un système donné. Les applications et les processus sont définis comme des sujets qui demandent ensuite l'accès aux fichiers (appelés objets ). Une décision est prise en fonction des politiques et des autorisations stockées dans un AVC (access vector cache).

Commutateurs rapides

Que se passe-t-il lorsque vous devez utiliser un service bloqué par l'une de ces règles ? Redéfinir la politique peut être inutile, compte tenu du contexte. C'est là que les booléens entrent en scène. Un booléen est essentiellement un commutateur qui permet des changements de politique à la volée dans des zones spécifiques de SELinux. Ces booléens sont des chaînes qui nous permettent d'apporter des modifications au niveau micro à une politique activement appliquée.

[ Vous pourriez également aimer : 5 conseils pour démarrer avec la sécurité des serveurs Linux ]

Quels booléens sont disponibles ?

Pour afficher une liste des booléens disponibles, vous pouvez utiliser getsebool -a . N'importe quel utilisateur peut exécuter cette commande.

[tcarrigan@client ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files --> off
boinc_execmem --> on
cdrecord_read_content --> off
cluster_can_network_connect --> off
cluster_manage_all_files --> off
cluster_use_execmem --> off
cobbler_anon_write --> off
cobbler_can_network_connect --> off
cobbler_use_cifs --> off
cobbler_use_nfs --> off
collectd_tcp_network_connect --> off
...Output Omitted...

Qu'est-ce que cela signifie ?

Il existe un grand nombre de commutateurs disponibles ici. Comme vous pouvez le voir dans la liste ci-dessus, la fonction de certains commutateurs booléens n'est pas vraiment évidente. Vous pouvez utiliser semanage boolean -l | grep boolean_name_string pour lister un peu plus d'informations sur un booléen donné.

REMARQUE  :Vous avez besoin des privilèges d'administrateur pour exécuter semanage commandes.

[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler*
cobbler_anon_write             (off  ,  off)  Allow cobbler to anon write
cobbler_can_network_connect    (off  ,  off)  Allow cobbler to can network connect
cobbler_use_cifs               (off  ,  off)  Allow cobbler to use cifs
cobbler_use_nfs                (off  ,  off)  Allow cobbler to use nfs
httpd_can_network_connect_cobbler (off  ,  off)  Allow httpd to can network connect cobbler
httpd_serve_cobbler_files      (off  ,  off)  Allow httpd to serve cobbler files

Vous pouvez voir ci-dessus que nous examinons tous les booléens traitant du cordonnier. De gauche à droite, nous voyons la chaîne booléenne, les paramètres actuels et par défaut, ainsi qu'une brève description du commutateur.

Activer/désactiver les booléens

Pour modifier l'état d'un commutateur donné, nous utilisons la commande suivante :setsebool boolean_name_string on (off ). Par exemple :

[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write on
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write            (on    , off)         Allow cobbler to anon write

Pour désactiver le paramètre, modifiez simplement l'option à la fin :

[tcarrigan@client ~]$ sudo setsebool cobbler_anon_write off
[tcarrigan@client ~]$ sudo semanage boolean -l | grep cobbler_anon_write
cobbler_anon_write            (off    , off)         Allow cobbler to anon write

Il convient de préciser que les modifications booléennes ne persistent pas lors des redémarrages par défaut. Pour effectuer une modification persistante, ajoutez le -P option à votre syntaxe de commande.

[tcarrigan@client ~]$ sudo setsebool -P cobbler_anon_write on

[ Vous voulez en savoir plus sur la sécurité ? Consultez la liste de vérification de la sécurité informatique et de la conformité. ] 

Plus d'informations ?

Si vous avez besoin de plus d'informations sur SELinux ou les options booléennes, consultez les pages de manuel SELinux pour les booléens, getsebool, setsebool, semanage, semanage-booleans et les sujets connexes.

[ Essayez gratuitement Red Hat Enterprise Linux, un système d'exploitation compatible SELinux. ]


Linux
  1. Survivre à un audit de sécurité avec Enterprise Linux

  2. Sécurité Linux :protégez vos systèmes avec fail2ban

  3. Comment surveiller la sécurité du serveur Linux avec Osquery

  4. Comprendre les booléens SELinux

  5. Comprendre les politiques SELinux sous Linux

Pen test avec les outils de sécurité Linux

Commande Linux wc avec exemples

Commande Linux ip avec exemples

Comment auditer un système Linux distant avec Lynis Security Tool

Audit de sécurité Linux avec Lynis

Sécurité Linux contre Windows