[SELinux on RedHat] Qu'es-ce que c'est eactement et devrait il est activé

[pierrot10]

Bonjour,
Je n'ai pas l'habitude de travailler avec SELinux.
Cependant il empêche que Marhlab tourne correctement.
J'ai remarqué que sur certain workstation il est activé et d'autre, ne l'est pas.

Et je en sais plsu s'il est activé, par defaut, après l'installation.
Avez-vous une idée?

S'il était activé, pourrais-je le désactivi, car un message apparait nous informant que si on le recativait, le système devra alors recréer les Label.

Si je leaisse activé et que je le modifife comme ceci:
1) enforced
2) permissived (au lieu de enforced, dans le deuxième champs)

Quelle en serait les concéquences? Es-ce que ca équivaut à le desactivé?

Merci pour m'éclairecessir!!??

[SYL666]

SELinux, ça veut dire Security Enhanced Linux.

... voila c'est tout dit!


Oui, il est activé par défaut au démarrage, et il est très facile à désactivé. Il suffit de mettre la bonne valeur dans /etc/sysconfig/selinux

Le mode permissive va loguer une alerte mais ne l'interdira pas. Je ne pense pas que cela soit très utile.

Globalement, SELinux est un module qui va mettre en place certaines règles.
Ces règles, implémenté en kernel space, sont très stricte et même root en personne ne peut pas les contourner.
C'est développé par pas mal de grandes boites (Red Hat, etc.... et la NSA (sisi, l'agence américaine) )

Après, les règles peuvent être modifier. Il y a une interface graphique pour ça.
Par exemple, niveau fichier, il va interdire l'accès aux fichiers non explicitement autorisé.
Imagine qu'un pirate prenne le contrôle de ton apache via injection de javascript ou de php, que tu as lancé en root. théoriquement, le pirate, avec ça, peut lire et exécuter des fichiers arbitraires, genre afficher /var/shadow.
Et bien non, avec SELinux, le kernel l'en empêchera. parce que apache n'a pas à lire des fichier hors de /var/www, point final.
Ainsi tu es (un peu plus) protégé de tes propres erreurs.

Bien entendu les règles sont modifiables.
Si tu utilises un RedHat / Fedora like, c'est configurable via system-config-selinux

[Djef-69]

Bonjour,

oh si le mode permissive est utile! au moins pour la mise en place des polices de sécurité comme le disais SYl666 SELinux te permet de définir des politiques de sécurité appliqué aux processus, utilisateur... permettant de blinder sérieusement ton système. Mais c'est pas si simple à mettre en place et généralement avant de passer en mode enforced on blinde les tests en mode permissive... cela permet d'éviter de s'interdire tout! et de se retrouver comme un c**...

[SYL666]

mhhm... le mode permissif est utile... oui et non.... c'est très discutable effectivement.

personnellement, je préfère le déconnecter complètement lorsque je configure un service délicat.
Une fois que je sais que j'ai plus à me méfier de cette partie, je configure, j'adapte le reste, firewall, etc.
Une fois que ça marche, je le remets en enforcing et je regarde si ça fonctionne. Si non, je regarde les possibilités qui me sont offertes (contexte de fichiers, désactivation pour un process particulier, etc.)

.... mais l'inconvénient, c'est les reboots, c'est sur. Donc mon avis est effectivement très discutable

Sinon, sur le long terme, après configuration, bien entendu le mode permissif n'a aucun intérêt :

Pour prendre mon exemple plus haut : il n'y a pas beaucoup d'intérêt d'être averti (et encore, si on lit les logs) que Samba a eu accès à shadow. Ou que le fichier /usr/bin/sshd a été accédé en écriture par le process FTP.
C'est trop tard!

Non : l'intérêt, c'est de savoir que Samba et apache ont été interdit d'accès alors qu'ils faisaient des trucs pas très catholiques.