I. Présentation
Security Enhanced Linux (
SELinux) est un
LSM
(Module de sécurité Linux) qui à pour fonction de définir une politique
de contrôle d’accès plus fine en plus des permissions basiques Linux
aux éléments issus d’un système.
II. Pourquoi désactiver SELinux
SELinux peut, sur des configurations poussées ou
spécifique, devenir bloquant. Il est le plus souvent à activer lorsqu'on
le gère totalement ou sur des environnements finaux après
l'installation des éléments/services du serveurs. C'est un élément de
sécurité fiable mais qui n'est pas une nécessité propre au système bien
qu'il soit présent par défaut sur certaine distribution comme CentOS.
III. Désactivation temporaire
Pour désactiver SELinux temporairement, dans le cadre d'un test par exemple :
L'action de cette commande propre à
SELinux est de mettre la valeur du fichier
/selinux/enforce à
0. Cela signifie qu'il est en mode
“permissive”, soit en écoute des évènement et en écritures de
logs
mais il ne bloquera aucun processus et aucune commande. On peut
effectuer l'action de cette commande manuellement avec la commande
suivante :
|
|
echo "0" > /selinux/enforce
|
Il s'agit d'une désactivation temporaire car
SELinux sera de nouveau activé au prochain démarrage ou alors si on le réactiva manuellement avec la commande suivante
ou encore
|
|
echo "1" /selinux/enforce
|
IV. Désactivation permanente
Pour que ce changement soir permanentent il faut aller modifier le champ suivant dans le fichier « /
etc/selinux/config » :
Le «
enforcing » signifie que la politique de sécurité
SELinux est appliquée, pour ne plus l’appliqué il faut remplacer «
enforcing » par «
permissive »:
SELinux va alors se contenter d’écrite des avertissements dans les
logs plutôt que de les appliquer. On peut également mettre «
disabled » pour que
SELinux n’écrive aucuns
logs et n’applique plus de mesures de sécurité non plu.
Aucun commentaire :
Enregistrer un commentaire