SELinuxSELinux (Security Enhanced Linux) est un mécanisme de sécurité qui améliore de manière significative la sécurité des serveurs sur lesquels il est déployé. Malheureusement, sa complexité amène bon nombre d’administrateurs et d’hébergeurs à le désactiver, ce qui est dommage.

Cet article est consacré à l’activation de SELinux sur notre serveur dédié Oracle Linux 7 fraîchement installé chez Scaleway et configuré « aux petits oignons ».

SELinux est désactivé dans la configuration par défaut chez Scaleway. Dans un premier temps, nous allons l’activer en mode permissif.

# /etc/selinux/config
SELINUX=permissive
SELINUXTYPE=targeted

Créez un fichier .autorelabel à la racine du système pour initier un réétiquetage complet de l’ensemble du système de fichiers au prochain redémarrage.

$ sudo touch /.autorelabel
$ sudo reboot

Comptez cinq bonnes minutes pour un réétiquetage complet. Au terme de l’opération, reconnectez-vous et lancez un audit SELinux.

$ sudo sealert -a /var/log/audit/audit.log

Sur certaines machines, il faudra éventuellement restaurer le contexte par défaut comme indiqué dans l’alerte.

$ sudo restorecon -v /etc/ld.so.cache

Vérifiez si l’intervention a réglé le problème.

$ echo | sudo tee /var/log/audit/audit.log
$ sudo reboot

Relancez un audit.

$ sudo sealert -a /var/log/audit/audit.log
100% done
found 0 alerts in /var/log/audit/audit.log

À partir de là, vous pouvez passer en mode renforcé par défaut.

# /etc/selinux/config
SELINUX=enforcing
SELINUXTYPE=targeted

Activez le mode renforcé « à chaud ».

$ sudo setenforce 1

Notre serveur dédié comporte désormais une couche de protection supplémentaire.


La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.

 


0 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *