SELinuxSELinux (Security Enhanced Linux) est un mécanisme de sécurité qui améliore de manière significative la sécurité des serveurs sur lesquels il est déployé. Malheureusement, sa complexité amène bon nombre d’administrateurs et d’hébergeurs à le désactiver, ce qui est dommage.

Cet article est consacré à l’activation de SELinux sur notre serveur dédié Rocky Linux 8 fraîchement installé chez Scaleway et configuré « aux petits oignons ».

SELinux est désactivé dans la configuration par défaut chez Scaleway. Dans un premier temps, nous allons l’activer en mode permissif :

# /etc/selinux/config
SELINUX=permissive
SELINUXTYPE=targeted

Créez un fichier .autorelabel à la racine du système pour initier un réétiquetage complet de l’ensemble du système de fichiers au prochain redémarrage :

# touch /.autorelabel
# reboot

Comptez cinq bonnes minutes pour un réétiquetage complet. Au terme de l’opération, reconnectez-vous et lancez un audit SELinux :

# sealert -a /var/log/audit/audit.log
100% done
found 0 alerts in /var/log/audit/audit.log

À partir de là, vous pouvez passer en mode renforcé par défaut :

# /etc/selinux/config
SELINUX=enforcing
SELINUXTYPE=targeted

Activez le mode renforcé « à chaud » :

# setenforce 1

Notre serveur dédié comporte désormais une couche de protection supplémentaire.


La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.

 


2 commentaires

Francisco Fernandez · 27 janvier 2023 à 21 h 42 min

Bonsoir,
Je n’ai pas compris la phrase « pour initier un réétiquetage complet de l’ensemble du système de fichiers ». C’est quoi exactement? Est ce qu’on modifie d’un quelconque facon l’arborescence de fichiers de linux : FHS (File Hierarchy Standard).

    kikinovak · 27 janvier 2023 à 22 h 28 min

    Je ne suis pas sûr de comprendre la question, mais voici un article un peu plus détaillé de Dan Walsh (Monsieur SELinux chez Red Hat) sur le réétiquetage (relabeling).

Laisser un commentaire

Emplacement de l’avatar

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *