SELinux (Security Enhanced Linux) est un mécanisme de sécurité qui améliore de manière significative la sécurité des serveurs sur lesquels il est déployé. Malheureusement, sa complexité amène bon nombre d’administrateurs et d’hébergeurs à le désactiver, ce qui est dommage.
Cet article est consacré à l’activation de SELinux sur notre serveur dédié Rocky Linux 8 fraîchement installé chez Scaleway et configuré « aux petits oignons ».
SELinux est désactivé dans la configuration par défaut chez Scaleway. Dans un premier temps, nous allons l’activer en mode permissif :
# /etc/selinux/config SELINUX=permissive SELINUXTYPE=targeted
Créez un fichier .autorelabel à la racine du système pour initier un réétiquetage complet de l’ensemble du système de fichiers au prochain redémarrage :
# touch /.autorelabel # reboot
Comptez cinq bonnes minutes pour un réétiquetage complet. Au terme de l’opération, reconnectez-vous et lancez un audit SELinux :
# sealert -a /var/log/audit/audit.log 100% done found 0 alerts in /var/log/audit/audit.log
À partir de là, vous pouvez passer en mode renforcé par défaut :
# /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted
Activez le mode renforcé « à chaud » :
# setenforce 1
Notre serveur dédié comporte désormais une couche de protection supplémentaire.
La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.
2 commentaires
Francisco Fernandez · 27 janvier 2023 à 21 h 42 min
Bonsoir,
Je n’ai pas compris la phrase « pour initier un réétiquetage complet de l’ensemble du système de fichiers ». C’est quoi exactement? Est ce qu’on modifie d’un quelconque facon l’arborescence de fichiers de linux : FHS (File Hierarchy Standard).
kikinovak · 27 janvier 2023 à 22 h 28 min
Je ne suis pas sûr de comprendre la question, mais voici un article un peu plus détaillé de Dan Walsh (Monsieur SELinux chez Red Hat) sur le réétiquetage (relabeling).