SELinux signifie Security-Enhanced intégré à RHEL et son système d'exploitation basé tel que CentOS, AlmaLinux et Rocky Linux 8 Linux prêt à l'emploi. Il s'agit d'une couche de sécurité supplémentaire ou d'une extension du noyau Linux, disponible sous la forme d'un module de sécurité séparé. SELinux fait officiellement partie du noyau Linux depuis 2003.
Certaines distributions Linux proposent SELinux en standard et l'ont activé par défaut, cependant, l'utilisateur peut le désactiver s'il le souhaite. SELinux restreint les droits d'accès aux programmes ou processus qui ne sont pas considérés comme nécessaires. Ainsi, tous les processus arbitrairement ne pourront pas accéder au système et il est logique de restreindre les droits d'accès même si vous faites réellement confiance aux programmes. Il réduit considérablement le risque posé par les failles de sécurité dans les programmes utilisateur, si l'application est piratée par un tiers ou infectée par un logiciel malveillant, SELinux limite l'accès et donc également le rayon des dommages. Cependant, nous n'en avons pas besoin à chaque fois, souvent SELinux reporte les utilisateurs pour installer certaines applications, dans de tels scénarios, l'utilisateur peut désactiver SELinux soit temporairement ou de manière permanente .
Qu'apprenons-nous ici ?
- Désactiver SElinux de manière permanente ou temporaire dans AlmaLinux et Rocky
- Commande pour vérifier l'état de SELinux
- Qu'est-ce que le mode permissif de SELinux ?
Commande pour vérifier l'état de SELinux
Avant d'aller plus loin pour désactiver SELinux, vérifions d'abord quel est l'état actuel de SELinux sur notre AlmaLinuc 8 ou Rocky. Pour que nous sachions ce que nous devons faire.
sestatus
Le résultat sera : S'il affiche Activé et Mode actuel - application signifie que SELinux est actif et applicable pour limiter le processus des programmes système.
En fait, il existe trois modes disponibles pour SELinux, l'un est "Enforcing ” que vous pouvez voir dans la capture d'écran ci-dessus montrant toutes les règles de politique activement appliquées pour les programmes installés. La seconde est "Permissive" , ce mode de SELinux permet de tout exécuter et traiter sans rien limiter, cependant, il enregistrera les événements système; où le troisième mode est "Désactivé ” dans lequel SElinux n'enregistre rien et ne limite aucun processus en appliquant des règles de politique.
Désactiver temporairement SELinux ou activer le mode permissif
Si vous envisagez d'installer une application qui doit désactiver temporairement SELinux en la mettant en mode permissif; alors voici la commande que vous pouvez utiliser pour obtenir le même résultat :
sudo setenforce 0 or sudo setenforce Permissive
Pour vous assurer que SELinux a bien été basculé en mode permissif, vous pouvez exécuter à nouveau la commande status pour le vérifier :
sestatus
Sortie :
Eh bien, comme je l'ai dit Permissive le mode est temporaire, donc lorsque vous redémarrez votre système AlmaLinux, le SELinux reviendra à appliquer mode. Si vous voulez le désactiver complètement, alors voyez les commandes suivantes…
Désactiver définitivement SELinux sur AlmaLinux ou Rocky 8
Jusqu'à présent, nous avons appris à vérifier l'état et à activer le mode permissif de SELinux, voyons maintenant le processus pour le mettre et activer son troisième mode qui est "Disabled". Pour cela, nous devons modifier la config fichier de SELinux.
Sur votre terminal de commande, utilisez ci-dessous deux commandes :
sudo dnf install nano sudo nano /etc/sysconfig/selinux
Vous verrez le texte affiché dans la capture d'écran suivante.
Ici, déplacez votre curseur sur SELINUX=enforcing et changez-le en :
SELINUX=disbaled
Enregistrer le fichier en appuyant sur Ctrl+X , tapez Y , puis appuyez sur Entrée clé.
Redémarrer
Pour appliquer les modifications et mettre notre SELinux en mode désactivé de façon permanente, redémarrez votre serveur ou bureau Linux.
sudo reboot
Réflexions finales :
C'était donc le moyen rapide de gérer SELinux et de le mettre en mode permissif ou permanent désactivé sur AlmaLinux ou Rocky Linux, quoi que vous utilisiez.